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(57) Abstract: The invention relates 
to a method for speeding up the time 
required to perform a Montgomery 
product calculation by applying the 
High-Radix Montgomery method on 
computing hardware. Said method 
comprises a loop of operations (72) 
consisting -in repeating successive 
operations, i.e.: a first addition oper- 
ation (76) involving the addition of a 
value of one of several first products, 
designated <o>ai</o>.<o>b</o>, and 
a value of one variable, designated 
u; * according to a first relationship 
u:=u+<o>ai</o>.<o>b</o>; and 
a second addition operation (80) 
involving the addition of a value 
of one of several second products, 
designated m.n, and a value of variable 
u according to a second relationship 
u:=u+m.n. The inventive method is 
characterised in that at least 
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(84) Etats designes (regional) : brevet europeen (AT, BE, CH, 
CY, DE, DK, ES, FI, FR, GB, GR, IE, IT, LU, MC, NL, PT, 
SE, TR). 

Publiee : 

— avec rapport de recherche international 

— avant I 'expiration du delai prevu pour la modification des 
revendications, sera republiee si des modifications sont 
recues 



En ce qui concerne les codes a deux lettres et autres abrevia- 
tions, se referer aux "Notes explicatives relatives aux codes et 
abreviations" figurant au debut de chaque numero ordinaire de 
la Gazette du PCT. 



said first and second addition operations are Carry-Save addition operations in order to speed up the time required to perform an 
addition. 

(57) Abrege : Procede pour accelerer le temps d^xecution du calcul d'un produit de Montgomery en appliquant la methode de 
Montgomery a radix eleve sur des moyens materiels de calcul, ladite methode comprenant une boucle d'operations (72) consistant 
a reiterer des operations successives dont notamment: une premiere operation d'addiuon (76) entre une valeur d'un de plusieurs 
premiers produits, notes ai.b*, et une valeur d'une variable, notee u, selon une premiere relation u:=u+aT.^; une seconde operation 
d' addition (80) entre une valeur d'un de plusieurs seconds produits, notes m.n, et une valeur de la variable u selon une deuxieme 
relation u:=u+m.n; caracterise en ce qu'au moins lesdites premiere et seconde operations d' addition sont des operations d' addition 
de Carry-Save pour accelerer le temps d' execution d'une addition. 
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L'invention concerne des precedes et des dispositifs pour accelerer 
le temps d'execution sur des moyens de calcul d'operations d'arithmetique 
modulaire et plus particulierement d'une exponentiation modulaire, d'une 
multiplication modulaire et d'un produit de Montgomery. 

5 Une operation de multiplication modulaire consiste a realiser 

I'operation suivante : 

a. b mod n ; 

ou a, b et n sont des entiers, n etant appele le modulus. 

De facon classique, pour effectuer une multiplication modulaire les 
io moyens de calcul executent d'abord une multiplication de a par b, suivie d'une 
reduction modulo n. Le temps d'execution de cette operation est proportionnel 
a k , ou k est le nombre de bits necessaires pour coder respectivement a, b et 
n en binaire. 

De facon egalement connue des mathematiciens, une multiplication 
15 modulaire peut etre realisee par la methode de Montgomery. Cette methode 
fait intervenir des produits de Montgomery comme decrit dans le document de 
Cetin Kaya Koc, « High Speed RSA Implementation » qui peut etre obtenu a 
I'adresse suivante : 

RSA Laboratories 
2 0 RSA Data Security, Inc. 

100, Marine Parkway, Suite 500 
Redwood City, CA 94065 - 1031 
U.S.A. 

Dans la suite de la description, ce document sera note D1 . 

Une operation d'exponentiation modulaire consiste a realiser 
I'operation suivante : 

x° mod n ; 

Ou x, c et n sont des entiers, n etant le modulus. 
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Le calcul de cette exponentiation par des methodes connues, telles 
que par exemple la methode « Square and multiply », fait intervener k 
multiplications modulaires, k etant le nombre de bits necessaires pour coder 
respectivement x, c et n en binaire. Ainsi il est admis que le temps d'execution 
5 de cette operation est proportionnel a k 3 . 

Les operations d'exponentiation modulaire constituent les 
operations de base de dispositifs de cryptage/decryptage d'informations. Par 
exemple les dispositifs de cryptage/decryptage mettant en ceuvre I'algorithme 
RSA (Rivest-Shamir-Adleman) utilisent des exponentiations modulaires. 
io Ces dispositifs se presentent actuellement sous des formes 

diverses telles que des composants electroniques ou des cartes electroniques 
destines a etre associes a des moyens de calcul pour executer et/ou accelerer 
les operations de cryptage/decryptage. 

Le commerce electronique, notamment sur Internet, utilise un grand 
is nombre de ces dispositifs de cryptage/decryptage pour crypter et decrypter des 
operations commerciales telles que des paiements. Le chiffre d'affaire des 
societes effectuant du commerce electronique est done limite par le nombre 
d'operations de cryptage et de decryptage qui peuvent etre effectuees par 
seconde. 

20 On congoit des lors quit est important d'accelerer le temps 

d'execution d'un produit de Montgomery, d'une multiplication et d'une 
exponentiation modulaires sur une machine equipee de moyens de calcul. 

Uinvention vise done a proposer un procede et un dispositif pour 
accelerer le temps d'execution du calcul d'un produit de Montgomery, d'une 

2 5 multiplication et d'une exponentiation modulaires sur une machine equipee de 

moyens de calcul. 

Elle a done pour objet un procede pour accelerer le temps 
d'execution du calcul d'un produit de Montgomery en appliquant la methode de 
Montgomery a radix eleve sur des moyens materiels de calcul, ladite methode 

3 0 comprenant une boucle d'operations consistant a reiterer des operations 

successives dont notamment : 
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une premiere operation d'addition entre une valeur d'un de plusieurs 
premiers produits, notes iT.b, et une valeur d'une variable, notee u, selon 
une premiere relation u :=u+ai . b ; 

une seconde operation d'addition entre une valeur d'un de plusieurs 
5 seconds produits, notes m.n, et une valeur de la variable u selon une 
deuxieme relation u := u + m.n ; caracterise en ce qu'au moins lesdites 
premiere et seconde operations d'addition sont des operations d'addition de 
Carry-Save pour accelerer le temps d'execution d'une addition. 

Suivant d'autres caracteristiques et avantages de I'invention, le 
10 procede comporte : 

dans la boucle d'operations une troisieme operation de division de 
la variable u par une puissance de 2, notee 2° ou © est le radix, selon une 
troisieme relation u :=JL, caracterise en ce que la variable u est enregistree 

sous la forme d'un couple de Carry-Save forme par deux variables, notees C et 
15 S, pour I'execution des operations de la boucle et en ce que la troisieme 
operation de division de la variable u sous la forme d'un couple de Carry-Save 
est realisee en deux etapes, a savoir : 

- une etape preliminaire de calcul et de stockage d'une 
retenue, notee R e , qui risque d'etre perdue par la division de chaque variable C 

20 et S par la puissance de 2; 

- une etape de division de chaque variable C et S par la 
puissance de 2 ; 

I'etape preliminaire de calcul de la retenue R e comprend I'operation 
d'additionner de facon classique co bits de poids faible de la variable C, notes 
25 C 0 , a ©bits de poids faible de la variable S, notes S 0 . selon une quatrieme 
relation R e :=Co + So ; 

une recombinaison de u a partir des variables C et S du couple de 
Carry-Save et de la retenue R e comprend I'operation de decaler a droite de co 
bits la retenue R e et d'additionner de facon conventionnelle le resultat obtenu 
3 0 aux variables C et S selon une cinquieme relation u : = C+S+R e /2 <n ; 

il comporte a Tissue de I'execution de la boucle d'operations : 
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- une etape de recombinaison (84) de la variable u a partir au 
moins des valeurs des variables C et S du couple de Carry-Save calculees 
pendant 1'execution de la boucle d'operations, et 

- une etape de reduction (86) de la variable u selon une 
5 sixieme relation u : = u-n, ou n est un modulus, 

lesdites etapes de recombinaison et de reduction de la variable u se 
chevauchant de maniere a accelerer leur temps d'execution ; 

le radix © est egal a 4 bits pour optimiser le temps d'execution du 
calcul d'un produit Montgomery sur des variables d'entree du produit de 
10 Montgomery codees sur 512 ou 1024 bits ; 

les premiers produits ai.b sont pre-calcules avant d'executer la 
boucle d'operations ; et 

les seconds produits m.n sont pre-calcules avant d'executer la 
boucle d'operations. 

15 L'invention a egalement pour objet un procede pour accelerer le 

temps d'execution du calcul d'un premier et d'un second produits de 
Montgomery en appliquant pour chaque produit comportant au moins une 
premiere etape pendant laquelle la premiere operation d'addition pour le 
premier produit est realisee en meme temps que la seconde operation 

2 o d'addition pour le second produit. 

Suivant d'autres caracteristiques et avantages de ce procede pour 
accelerer le temps d'execution du calcul d'un premier et d'un second produits 
de Montgomery : 

il comporte au moins une seconde etape decalee dans le temps par 

2 5 rapport a la premiere, pendant laquelle la seconde operation d'addition pour le 

premier produit est realisee en meme temps que la premiere operation 
d'addition pour le second produit ; 

il comporte a Tissue de I'execution de la boucle d'operations : 

- une etape de recombinaison puis de reduction pour le 

3 o premier produit execute en premier ; et ensuite, 

- une etape de recombinaison puis de reduction pour le second 
produit execute en second ; 
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une des variables d'entree du premier produit de Montgomery 
execute en premier se compose des poids faibles d'une variable, et une des 
variables d'entree du second produit de Montgomery execute en second se 
compose des poids forts de cette meme variable ; 

^invention a egalement pour objet un procede pour accelerer le 
temps d'execution du calcul d'une multiplication modulaire en appliquant une 
methods mettant en ceuvre des produits de Montgomery, caracterise en ce 
que le calcul des produits de Montgomery est realise en appliquant au moins 
Tun des precedes conforme a I'invention. 

Suivant d'autres caracteristiques et avantages de ce procede pour 
accelerer le temps d'execution du calcul d'une multiplication modulaire : 

ladite methode mettant en ceuvre des produits de Montgomery est la 
methode de Montgomery ; 

[-'invention a egalement pour objet un procede pour accelerer le 
temps d'execution du calcul d'une exponentiation modulaire en appliquant une 
methode mettant en ceuvre des multiplications modulaires, le calcul des 
multiplications modulaires est realise en appliquant un procede conforme a 
I'invention. 

Suivant d'autres caracteristiques et avantages de ce procede pour 
accelerer le temps d'execution du calcul d'une exponentiation modulaire : 

ladite methode mettant en ceuvre des multiplications modulaires est 
la methode m-ary avec une taille de mots de r bits ; 

la taille de mots r de la methode m-ary est egale a 5 bits pour 
accelerer le temps d'execution de la methode m-ary lorsque des variables 
d'entree du calcul de I'exponentiation modulaire sont codees sur 512 ou 1024 
bits ; 

les seconds produits m.n sont pre-calcules avant d'appliquer la 
methode m-ary ; 

ladite methode mettant en ceuvre des multiplications modulaires est 
la methode des restes chinois ; 

L'invention a egalement pour objet un procede pour accelerer le 
temps d'execution du calcul d'une premiere exponentiation modulaire en 
appliquant une methode mettant en ceuvre des secondes exponentiations 
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modulaires, les secondes exponentiations modulaires sont realisees en 
appliquant un procede conforme a I'invention. 

Suivant d'autres caracteristiques et avantages de ce procede pour 
accelerer le temps d' execution du calcul d'une premiere exponentiation ; 
5 ladite methode mettant en oeuvre des secondes exponentiations 

modulaires est la methode des restes chinois ; 

ii est applique a des nombres codes sur plus de 320 bits ; et 

L'invention a egalement pour objet un programme d'ordinateur 
comprenant des instructions de code de programme pour I'execution de 
10 certaines etapes du procede conforme a l'invention lorsque ledit programme 
est execute sur des moyens principaux de calcul associes audits moyens 
materiels de calcul. 

L'invention a egalement pour objet un systeme deceleration du 
temps d'execution du calcul d'un produit de Montgomery par la methode de 
15 Montgomery a radix eleve sur des moyens materiels de calcul, ledit systeme 
comprenant : 

des moyens pour effectuer une premiere operation d'addition entre 
une valeur d'un de plusieurs premiers produits, notes ai .b , et une valeur d'une 
variable, notee u, selon une premiere relation u := u+a .b ; 
20 des moyens pour effectuer une seconde operation d'addition entre 

une valeur d'un de plusieurs seconds produits, notes m.n, et une valeur de la 
variable u selon une deuxieme relation u := u + m.n, 

caracterise en ce que les moyens pour effectuer la premiere et la 
seconde operations d'addition comportent au moins un additionneur de Carry- 

2 5 Save ; 

Suivant d'autres caracteristiques et avantages de ce systeme : 
les moyens pour effectuer la premiere et la seconde operations 
d'addition comportent au moins un premier additionneur de Carry-Save adapte 
pour realiser la premiere operation d'addition et un second additionneur de 

3 o Carry-Save (1 58 ; 232) adapte pour realiser la seconde operation d'addition. 

il comporte des moyens classiques pour realiser une troisieme 
operation de division de la variable u par une puissance de 2, notee T ou co 
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est le radix, selon une troisieme relation u :=^, il comporte des moyens de 

stockage de la variable u sous la forme d'un couple de Carry-Save forme par 
deux variables, notees C et S et des moyens pour realiser la troisieme 
operation de division de la variable u sous la forme d'un couple de Carry-Save 
5 comprenant : 

- des moyens de calcul et de stockage d'une retenue, notee 
R e , qui risque d'etre perdue par la division de chaque variable C et S par la 
puissance de 2; 

- des moyens de division de chaque variable C et S par la 
:o puissance de 2 ; 

les moyens de calcul et de stockage de la retenue R e comportent 
des moyens d'addition conventionnelle des co bits de poids faible de la variable 
C, notes C 0 , aux ©bits de poids faible de la variable S, notes S 0 , selon une 
quatrieme relation R e : = Co + So ; 
5 il comprend : 

- des moyens de recombinaison de la variable u au moins a 
partir des valeurs des variables C et S du couple de Carry-Save ; 

- des moyens de reduction de la variable u, lesdits moyens de 
recombinaison de la variable u et lesdits moyens de reduction etant raccordes 

o Tun a I'autre de maniere a chevaucher leur fonctionnement sous le controle de 
moyens de commande ; 

le radix co est egal a 4 bits pour optimiser le temps d'execution du 
calcul d'un produit Montgomery sur des variables d'entree du produit de 
Montgomery codees sur 512 ou 1024 bits ; 

5 il comporte des moyens de pre-calculs des premiers produits aT .b ; 

il comporte des moyens de pre-calculs des seconds produits m.n. ; 
lesdits moyens de pre-calculs des premiers et/ou des seconds 
produits comportent un additionneur conventionnel ; 

L'invention a egalement pour objet un systeme d 'acceleration du 
0 temps d'execution du calcul d'un premier et d'un second produits de 
Montgomery, caracterise en ce qu'il comporte deux additionneurs de Carry- 
Save actives simultanement ; 
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Suivant une autre caracteristique du systeme deceleration du temps 
d'execution du calcul d'un premier et d'un second produits de Montgomery, il 
comporte un seul moyen pour recombiner la variable u a partir au moins des 
valeurs de variables C et S du couple de Carry-Save, relie en entree d'un seul 
5 moyen de reduction de la variable u ; 

L'invention a egalement pour objet un un systeme d'acceieration du 
temps d'execution du calcul d'une multiplication modulaire par une methode 
mettant en oeuvre des produits de Montgomery lesdits produits Montgomery 
etant executes sur des moyens materiels de calcul, caracterise en ce qu'il 
10 comporte au moins un systeme d'acceieration du temps d'execution du calcul 
des produits de Montgomery conforme a I'invention. 

L'invention a egalement pour objet un systeme d'acceieration du 
temps d'execution du calcul d'une multiplication modulaire par la methode de 
Montgomery mettant en oeuvre des produits de Montgomery sur des moyens 
is materiels de calcul, caracterise en ce qu'il comporte au moins un systeme 
d'acceieration du temps d'execution du calcul des produits de Montgomery 
selon I'une des revendications 24 a 34. 

L'invention a egalement pour objet un systeme d'acceieration du 
temps d'execution du calcul d'une exponentiation modulaire par une methode 
20 mettant en oeuvre des multiplications modulaires, caracterise en ce qu'il 
comporte au moins un systeme d'acceieration du temps d'execution du calcul 
des multiplications modulaires conforme a I'invention. 

L'invention a egalement pour objet un systeme d'acceieration du 
temps d'execution du calcul d'une exponentiation modulaire par la methode m- 

2 5 ary avec une taille de mots de r bits mettant en oeuvre des multiplications 

modulaires, caracterise en ce qu'il comporte au moins un systeme 
d'acceieration du temps d'execution du calcul des multiplications modulaires 
conforme a I'invention . 

Suivant une autre caracteristique du systeme d'acceieration du 

3 0 temps d'execution du calcul d'une exponentiation modulaire par la methode de 

m-ary , il comporte au moins un registre a decalage a gauche de 5 bits pour 
accelerer I'execution de la methode m-ary avec une taille de mots r bits de la 
methode m-ary egale a 5 bits. 
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L'invention a egalement pour objet un systeme d'acceleration du 
temps d'execution du calcul d'une exponentiation modulaire par la methode 
des restes chinois mettant en ceuvre des multiplications modulaires, 
caracterise en ce qu'il comporte au moins un systeme d'acceleration du temps 
5 d'execution du calcul des multiplications modulaires conforme a l'invention. 

L'invention a egalement pour objet un Systeme d'acceleration du 
temps d'execution du calcul d'une premiere exponentiation modulaire par une 
methode mettant en ceuvre des secondes exponentiations modulaires, 
caracterise en ce qu'il comporte au moins un systeme d'acceleration du temps 
.0 d'execution du calcul des secondes exponentiations modulaires conforme a 
l'invention. 

L'invention a egalement pour objet un systeme d'acceleration du 
temps d'execution du calcul d'au moins une premiere exponentiation modulaire 
par la methode des restes chinois mettant elle-meme en ceuvre des secondes 

5 exponentiations modulaires, caracterise en ce qu'il comporte au moins un 
systeme d'acceleration du temps d'execution du calcul des secondes 
exponentiations modulaires conforme a l'invention . 

L'invention a egalement pour objet un composant electronique qui 
comporte au moins un systeme conforme a l'invention . 

o Suivant une autre caracteristique de ce composant, il est forme avec 

au moins un FPGA. 

L'invention a egalement pour objet une carte electronique qui 
comporte au moins un systeme conforme a l'invention . 

Suivant une autre caracteristique de cette carte electronique, elle 
:5 est conforme au standard PCI. 

L'invention a egalement pour objet une machine caracterisee en ce 
qu'elle est associee a au moins un systeme conforme a l'invention. 

L'invention a egalement pour objet un procede pour accelerer le 
temps d'execution du calcul d'une premiere exponentiation modulaire, notee 
o M E mod nouM est le message d'entree, E est I'exposant et n est le modulus, 
sur des moyens principaux de calcul, caracterise en ce qu'il comprend en 
outre : 
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- une premiere etape de separation du calcui de la premiere 
exponentiation modulaire en deux secondes exponentiations modulaires, en 
appliquant la methode des restes chinois, 

- une seconde etape consistant a calculer chacune des 
5 secondes exponentiations modulaires en appliquant la methode m-ary, 

laquelle met en oeuvre des multiplications modulaires, 

- des etapes consistant a effectuer les multiplications 
modulaires en appliquant une methode mettant en oeuvre des produits de 
Montgomery. 

10 Suivant d'autres caracteristiques et avantages de ce procede pour 

accelerer le temps d'execution du calcul d'une premiere exponentiation 
modulaire: 

les variables d'entree sont des nombres entiers naturels codes sur 
plus de 320 bits ; 

15 la taille de mots r de la methode m-ary est egale a 5 bits pour 

accelerer le temps d'execution de la methode m-ary lorsque les variables 
d'entree du calcul de I'exponentiation modulaire sont codees sur 512 ou 1024 
bits ; 

les calculs des secondes exponentiations modulaires sont effectues 
2 0 sensiblement en parallele ; et 

les produits de Montgomery sont calcules en utilisant la methode de 
Montgomery a radix eleve. 

la methode de Montgomery a radix eleve est mise en oeuvre 
conformement a Tun des precedes conforme a Nnvention. 

2 5 ^invention a egalement pour objet un programme d'ordinateur 

comprenant des instructions de code de programme pour I'execution de 
certaines etapes d'un procede conforme a invention lorsque ledit programme 
est execute sur les moyens principaux de calcul. 

L'invention sera mieux comprise a la lecture de la description qui va 

3 0 suivre, donnee uniquement a titre d'exemple et faite en se referant aux dessins 

annexes, sur lesquels : 

la figure 1 represente le procede de Montgomery pour effectuer une 
multiplication modulaire ; 



BNSDOCID: <WO 020734 50 A1 J_> 



W ° 02/073450 PCT/FR02/00897 

11 

la figure 2 represente une methode pour calculer un produit de 
Montgomery sous sa forme a radix eleve ; 

la figure 3A est un schema electronique d'un additionneur de Carry- 
Save; 

5 la figure 3B est un schema electronique d'un additionneur 

conventionnel ; 

la figure 4 est un exemple de division d'un nombre represente sous 
la forme d'un couple Carry-Save ; 

la figure 5 represente un precede pour calculer un produit de 
io Montgomery conforme a I'invention ; 

la figure 6 represente un precede d'exponentiation modulaire selon 
la methode m-ary ; 

la figure 7 represente un precede d'exponentiation modulaire 
conforme a I'invention ; 

15 'a figure 8 represente la methode des restes chinois ; 

la figure 9 est une vue schematique d'un multiplieur de Montgomery 
conforme a I'invention ; et 

la figure 10 est une vue schematique d'un exponentiateur modulaire 
conforme a I'invention . 

20 Dans la suite de la description on utilise les notations suivantes : 

- on note D2 le document suivant :Cetin Kaya Koc, « RSA 
Hardware Implementation »,qui peut etre obtenu a la meme adresse que le 
document D1 precedemment cite ; 

- := est le symbole d'affectation, ainsi X :=M signifie qu'on affecte la 
: 5 valeur d'une variable notee M a une variable notee X ; 

« dec. » indique que le chiffre qui le precede est en notation 

decimale. 

« Composant FPGA » fait reference au composant programmable 
connu du type FPGA (Field Programmable Gate Array), 
o La figure 1 represente le precede de Montgomery pour effectuer 

une multiplication modulaire entre une premiere variable d'entree notee «a » et 
une seconde variable d'entree notee « b » selon la relation suivante : 
a. b mod n; 



020734 50A1_I_> 



WO 02/073450 PCT/FR02/00897 

12 

ou a, b et n sont des entiers naturels, n etant le modulus. 

La description qui va suivre de ce procede ne presente que les 
informations necessaires a la comprehension de I'invention. Pour plus 
d'informations le lecteur peut se referer, par exemple, au document D1 
5 chapitre 3.8 « Montgomery's method ». 

La multiplication modulaire selon le procede de Montgomery 
s'effectue en cinq etapes successives numerotees 2, 4, 6, 8 et 10 sur la figure 
1. 

L'etape 2 consiste a calculer la variable n' 0 selon la relation 

10 suivante : 

n'o = - no"" 1 ; 
ou : 

- le signe - represente I'operation de complement a 1 ; 

- no represente les a> bits de poids faible du modulus n, co etant 
15 appele le radix ; 

- n 0 ~ 1 represente Tinverse de n 0 et est defini par la relation n 0 .n 0 " 1 = 1 
mod (2 (D ), cette equation etant resolue par des methodes connues telle que 
I'algorithme d'Euclide etendu 

Uinteret du calcul de n' 0 dans cette etape apparaTtra a la lecture de 
20 la description de la figure 2. 

Dans la deuxieme etape 4 le residu de Montgomery de la variable 

d'entree a, note a , est calcule selon la relation suivante : 

a := a.p mod n 
ou : 

25 - a est la premiere variable d'entree du produit modulaire ; 

- n est le modulus du produit modulaire, 

- p est defini par la relation suivante : p = 2 k , ou k est rentier naturel 
telque:2 k " 1 < n <2 k . 

Dans la troisieme etape 6 le residu de Montgomery de la variable 

3 0 d'entree b, note b , est calcule selon la relation suivante : 

b := b.p mod n ; 
ou : 
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- b est la seconde variable d'entree du produit modulaire ; 

- n est le modulus ; 

.......... - p est identique a la variable p definie dans la deuxieme etape 4. 

Dans la quatrieme etape 8 le produit de Montgomery entre le residu 
5 a et le residu b est calcule et le resultat est affecte a une variable x selon la 
relation suivante : 

x: = MonPro(a.b) ; 
ou : 

-a et b sont les residus calcules respectivement aux etapes 4 et 6 ; 

- MonPro represente I'operation produit de Montgomery entre les 
variables a et b. Cette operation sera decrite par la suite en regard de la 
figure 2. 

Dans la cinquieme etape 10 le produit de Montgomery entre la 
variable x et I'unite est calcule et le resultat est affecte a une variable x selon 
15 la relation suivante : 

x := MonPro(x,1) ; 
ou : 

- x est la variable calculee a la quatrieme etape 8 ; 
- 1 represente I'unite ; 

20 - MonPro represente I'operation produit de Montgomery. 

A I'issue de ces cinq etapes 2, 4, 6, 8 et 10 le resultat de la 
multiplication de la premiere variable a par la seconde variable b modulo n est 
obtenu dans la variable x. 

La figure 2 represente la methode de Montgomery sous sa forme a 
25 radix eleve pour calculer un produit de Montgomery, egalement appelee ici la 
methode de Montgomery a radix eleve. 

La description qui va suivre de cette methode ne presente que les 
informations necessaires § la comprehension de I'invention. Pour plus 
d'informations le lecteur peut se referer, par exemple, au document D2 
30 chapitre 7.5 « High radix Montogmery's method ». 
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Le calcul d'un produit de Montgomery correspond aux operations 
MonPro de la figure 1 . Cette operation va etre presentee dans le cas particulier 
de I'etape 8 de la figure 1 , c'est-a-dire qu'on decrit ici le calcul suivant : 

MonPro(a,b) = a.b. p" 1 mod n; 
5 Ou : 

- a et bsont les residus de Montgomery respectifs des variables a 
et b calculees aux etapes 4 et 6 de la figure 1 ; 

- p" 1 est Tinverse modulo-n de la variable p definie lors de la 
description de I'etape 4 de sorte que p" 1 satisfait la relation suivante : p.p" 1 =1 

10 mod n. 

Ce procede comporte trois etapes principales 16, 18 et 20. La 
premiere etape 16 consiste a initialiser une variable u et un indice i selon les 
relations suivantes : u : = 0 ; i : = 0. Elle consiste egalement a pre-calculer des 
premiers produits a..b qui seront definis en regard de I'operation 24 de ce 
15 procede. 

La deuxieme etape 1 8 consiste reiterer une boucle d'operations tant 
que Tindice i n'est pas inferieur ou egal a une variable s-1, Tindice i etant 
incremente a Tissue de chaque iteration de la boucle. Cette boucle 
d'operations est notee de fa<jon conventionnelle « for i=0 to s-1 ». La variable s 
20 qui determine le nombre d'iterations est ici definie par la relation suivante : 

k = sco ; 

ou : 

- k represente le nombre de bits necessaires pour coder le modulus 
n, c'est-a-dire que k satisfait la relation : 2 k1 < n < 2 k ; 

2 5 - G) est le radix . 

Ainsi, si par exemple k = 512 bits et si le radix <o = 4 bits, s = 128. 
Par ailleurs si la division de k par le radix co ne donne pas un entier 
naturel, il est possible de rajouter a la representation binaire du modulus n des 
bits de poids fort egaux a 0 de maniere a ce que la representation binaire du 
30 modulus rr ainsi obtenue contienne un nombre de bits k 1 qui soit un multiple du 
radix <d. 
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La boucle d'operations 18 comporte quatre operations 24, 26, 28 et 
30 successives. 

. La premiere operation 24 de la boucle d'operations 18 consiste a 
effectuer une premiere operation d'addition et a affecter le resultat a la variable 
5 u selon la relation suivante : 

u :=u+m.b ; 
ou : 

- ai represente les co bits de poids faible de la variable a apres un 
**" e decalage a droite de oo bits de la representation binaire de a, i 

io correspondant a I'indice i de la variable aT ; 

- b represente le residu de Montgomery de la variable d'entree b ; 

- u est la variable initialisee lors de I'etape 16. 

On appellera par la suite « les premiers produits » I'ensemble des 
valeurs des produits as .b lorsque la valeurde I'indice i varie de 0 a s-1. 
15 L'operation 26 suivante consiste a affecter a une variable m le 

resultat de la multiplication d'une variable u 0 par n' 0 modulo T selon la relation 
suivante : 

m : = u 0 . n'omod 2 <D ; 
ou : 

20 " u o represente les a> bits de poids faible de la variable u 

precedemment calculee lors de l'operation 24; 

- n' 0 est la variable calculee lors de I'Stape 2 du procede de la figure 

1 ; 

- © est le radix . 

2 5 L'operation 28 consiste a effectuer une seconde operation d'addition 

puis a affecter le resultat dans la variable u selon la relation suivante : 
u : = u + m.n 
ou : 

- u est la variable precedemment definie; 

30 - m est la variable calculee lors de l'operation 26 ; 

- n est le modulus de la multiplication modulaire de la figure 1 . 
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On appellera par la suite « les seconds produits » I'ensemble des 
valeurs des produits m.n possibles lorsque la valeur de m varie de 0 a 2*° - 1 . 

L'operation 30 consiste a effectuer une operation de division de la 
variable u par une puissance de 2 puis a affecter le resultat de la division a la 
5 variable u selon la relation suivante : 

u : = u / 2 a 

ou : 

- u est la variable precedemment calculee ; 

- 2 w est la puissance de 2, co etant le radix. 

io A Tissue de la boucle d'operations 18, 1'etape 20 est executee. Cette 

etape consiste a effectuer une operation de reduction si la valeur de la variable 
u obtenue a Tissue de la boucle d'operations 18 est superieure a n, n etant le 
modulus. L'operation de reduction consiste a affecter a la variable u le resultat 
de la soustraction u moins n selon la relation suivante : 

15 u : = u - n 

ou u et n sont respectivement la variable calculee lors de la boucle 
d'operations 18 et le modulus de la multiplication modulaire de la figure 1. 

On notera que le precede de Montgomery decrit aux figures 1 et 2 
transforme des multiplications modulo n, en des multiplications modulo 2 <B . Or 

2 0 les multiplications modulo 2 m s'executent beaucoup plus rapidement sur des 
moyens de calcul conventionnels. Toutefois, il est connu que ce gain de 
rapidite au niveau des multiplications modulaires est contrebalance par la 
lenteur du calcul des residus a et b lors des etapes 4 et 6 de la figure 1 . 

La methode de Montgomery a radix elevee est couramment utilisee 

2 5 avec une valeur du radix egale a 8, cette valeur correspondant a un octet (mot 

de 8 bits). De facon surprenante il a ete determine par des tests que cette 
valeur du radix n'etait pas Toptimum pour accelerer le temps d'execution du 
calcul d'un produ'rt de Montgomery a radix eleve dans les conditions suivantes : 

- le calcul est effectue sur des grands nombres. Par grands 

3 0 nombres on designe des entiers naturels cod6s en binaire sur au moins 320 

bits. 
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- le calcul est effectue par des moyens materiels de calcul. Par 
moyens materiels de calcul on designe ici des composants electroniques, ou 
des ensembles de composants electroniques specialemerit concus pour 
realiser ce calcul. On exclue effectivement de ces moyens materiels 

5 specifiques, des moyens polyvalents de calcul, tel qu'un ordinateur classique 
associe a un programme permettant de realiser ce calcul. 

Les tests suivants ont ete realises pour des variables a, b et n 
codees en binaire sur 512 bits, c'est-a-dire pour une valeur de la variable k, 
precedemment definie, egale a 512 bits. Les tests consistent dans une 

io premiere etape a concevoir des moyens materiels de calcul d'un produit de 
Montgomery selon le procede de la figure 2. Dans une seconde etape les tests 
consistent a determiner le temps d'execution du calcul d'un produit de 
Montgomery selon le procede de la figure 2 sur les moyens materiels de calcul 
concus lors de la premiere etape et pour la frequence de fonctionnement 

15 maximale de ces moyens materiels. On notera ainsi dans les exemples 
numeriques suivants que la frequence maximale de fonctionnement des 
moyens materiels de calcul diminue au fur et a mesure que la valeur du radix co 
augmente. Pour les resultats numeriques suivants les moyens materiels de 
calcul sont formes avec un composant FPGA (Field Programmable Gate Array) 

20 dont la reference est 10K200E-1 . Dans ces conditions les resultats obtenus 
sont les suivants : 

- Pour un radix co egal a 2 bits, la frequence de fonctionnement 
maximale des moyens materiels de calcul est de 66 MHz. Le temps 
d'execution d'un produit de Montgomery selon le procede de la figure 2 est de 

2 5 8280 nano-secondes. 

- Pour un radix to egal a 3 bits, la frequence de fonctionnement 
maximale des moyens materiels de calcul est de 60 MHz. Le temps 
d'execution d'un produit de Montgomery selon le procede de la figure 2 est de 
6447 nano-secondes. 

30 - Pour un radix <o egal a 4 bits, la frequence de fonctionnement 

maximale des moyens materiels de calcul est de 50 MHz. Le temps 
d'execution d'un produit de Montgomery selon le procede de la figure 2 est de 
5940 nano-secondes. 
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- Pour un radix co egal a 5 bits, la frequence de fonctionnement 
maximale des moyens materiels de calcul est de 40 MHz. Le temps 
d'execution d'un produit de Montgomery selon le procede de la figure 2 est de 
6475 nano-secondes. 
5 On concoit done a la lecture des resultats de ces tests que pour 

optimiser le temps d'execution d'un produit de Montgomery selon le procede 
de la figure 2 pour des grands nombres codes sur 512 bits le radix doit etre 
choisi egal a 4 bits. 

De fagon similaire il a ete determine qu'une valeur du radix egale a 
10 4 bits permet egalement d'optimiser le temps d'execution du calcul d'un produit 
de Montgomery selon le procede de la figure 2 pour des grands nombres 
codes sur 1024 bits. 

II existe une autre methode pour calculer des produits de 
Montgomery connue sous le nom de «Methode de Montgomery sous sa forme 
15 simple ». Cette methode correspond a la methode de Montgomery a radix 
eleve dans le cas ou le radix est egal a 1 bit. Par consequent on ne decrira pas 
ici cette methode plus en detail, on considera simplement que le la methode de 
Montgomery a radix eleve inclus egalement le cas ou le radix est egal a 1 bit. 

Les figures 3A et 3B represented un schema electronique d'un 
20 additionneur de Carry-Save et un schema electronique d'un additionneur 
convention nel. 

Sur ces schemas on note Aj ,Bi ,Dj ,Q et Si respectivement les \ ime 
bits en partant de la droite de la representation binaire de variables A, B, D, C, 
et S, le bit le plus a droite de chaque representation binaire ayant un indice i 
25 egal a zero. 

L'additionneur de Carry-Save de la figure 3A comporte trois cellules 
40, 42 et 44. Ces cellules 40, 42 et 44 sont respectivement raccordees en 
entree a des premiers moyens de stockage (non representes) des bits A 0 , B 0 
et D 0 , des bits Ai , et et des bits A 2 , B 2 et D 2 des variables d'entree A, B 
3 0 et D. Elles sont egalement raccordees en sortie respectivement a des seconds 
moyens de stockage (non representes) des bits C 1 et S 0 , C 2 et S^ et C 3 et S 2 
des variables de sortie C et S. 
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La cellule 40 est adaptee pour calculer la valeur du bit S 0 selon la 
relation suivante : 

S 0 : = A 0 © B 0 © D 0 
ou : 

5 - A 0 , B 0 et D 0 sont les bits d'entree de la cellule; 

- © represente I'operation logique « ou exclusif » ; 

La cellule 40 est egalement adaptee pour calculer la valeur du bit d 
selon la relation suivante : 

Ci : = A 0 .B 0 + A 0 .D 0 + B 0 .D 0 
io ou : 

- A 0 ,Bo et Do ont ete definis ci-dessus; 

- + represente I'operation logique « ou » ; 
- . represente I'operation logique « et ». 

De facon similaire a la cellule 40, la cellule 42 est adaptee pour 
15 calculer les bits de sortie C 2 et Si selon les deux relations suivantes ; 
Si : = Ai © Bi © Di ; 
C 2 : = A1 .B 1 + A1 .Dr + .D1 ; 

De facon similaire aux cellules 40 et 42, la cellule 44 est adaptee 
pour calculer les bits de sortie S 2 et C 3 selon les deux relations suivantes : 
20 S 2 : = A 2 © B 2 © D 2 ; 

C 3 : = A 2 .B 2 + A 2 D 2 + B 2 D 2 ; 

L'operation qui consiste a calculer les bits de sortie des variables S 
et C en fonction des bits d'entree selon les relations precedentes s'appelle une 
addition de Carry-Save. 

25 ° n remarquera qu'en sortie de I'additionneur de Carry-Save, le 

resgltat de I'addition des trois variables d'entree A, B et D est enregistre dans 
les deux variables de sortie C et S, C et S formant ce que I'on appelle un 
couple de Carry-Save, note (C, S). Pour obtenir le resultat de I'addition des 
trois variables d'entree A, B et D dans une seule variable U, les variables C et 
30 S doivent etre recombinees selon la relation suivante : 
U : = C + S 
Ou : 
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- C et S sont les variables du couple du Carry-Save obtenues en 
sortie de I'additionneur de Carry-Save ; 

- + represente ['operation d'addition conventionnelle. 

La methode consistant a additionner les bits des variables d'entree 
5 selon les relations precedentes pour obtenir un couple de Carry-Save, puis a 
recombiner les variables du couple de Carry-Save pour obtenir le resultat final 
de I'addition des variables d'entree est connue sous le nom de « la methode 
de Carry-save ». Ainsi la methode de Carry-Save se compose d'une operation 
d'addition de Carry-Save suivie d'une operation de recombinaison du couple 
10 de Carry-Save. 

On note X le temps d'execution du calcul de C -j et S 0 par la cellule 
40. On suppose que le temps d'execution du calcul de C 2 et Si et de C 3 et S 2 
par leurs cellules respectives 42 et 44 est egalement egal a X. Dans ces 
conditions, le temps d'execution de I'addition de Carry-Save entre les trois 
15 variables d'entree A, B et D est egal a X. En effet les bits des representations 
binaires des variables A, B et D sont traites en parallele par les cellules 40, 42 
et 44. Ce resultat peut etre generalise a des additionneurs de Carry-Save 
comportant de nombreuses cellules, de maniere a pouvoir realiser des 
additions de Carry-Save sur des grands nombres comme definit 

2 o precedernment. 

On notera qu'un additionneur de Carry-Save peut egalement etre 
realise par des moyens logiciels tels qu'un programme permettant de mettre en 
oeuvre des traitements en parallele des operations d'addition de Carry-Save. 

La figure 3B represente un additionneur conventionnel adapte pour 
25 realiser I'addition conventionnelle de deux variables d'entree A et B et pour 
stocker le resultat dans une variable de sortie S. 

Cet additionneur conventionnel comporte trois cellules 48, 50, 52. 

La cellule 48 est raccordee a la sortie de premiers moyens de 
stockage (non representes) des bits A 0 et B 0 et a I'entree de seconds moyens 

3 0 de stockage (non representes) du bit S 0 . Elle est egalement raccordee a une 

entree de la cellule 50. Cette cellule 48 est adaptee pour additionner de fagon 
conventionnelle les bits A 0 et B 0 et pour transmettre la retenue de cette 
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addition a la cellule 50. Le resultat de cette addition est stocke dans les 
seconds moyens de stockage du bit S 0 . 

La cellule 50 est raccordee a' la sortie de premier moyens de 
stockage (non representes) des bits Ai et Bi et a I'entree de seconds moyens 
5 de stockage (non representes) du bit Si. Elle est egalement raccordee a une 
entree de la cellule 52. Cette cellule 50 est adaptee pour additionner les bits A, 
et Bt et pour transmettre la retenue de cette addition a la cellule 52. Le resultat 
de cette addition est stocke dans les seconds moyens de stockage du bit 

La cellule 52 est raccordee a la sortie de premiers moyens de 
10 stockage (non representes) des bits A 2 et B 2 et a I'entree de second moyens 
de stockage (non representes) des bits S 2 et S 3 . Cette cellule 52 est adaptee 
pour additionner les bits A 2 et B 2 , le resultat et la retenue de cette addition 
etant stockes dans les seconds moyens de stockage, respectivement dans les 
bits S 2 et S 3 . 

15 On note X le temps d'execution du calcul de S 0 par la cellule 48 et 

Ton suppose que le temps d'execution du calcul de Si et de S 2 , S 3 
respectivement par les cellules 50 et 52 est identique a celui de la cellule 48. 
On remarque a la lecture de la description de cet additionneur conventionnel 
que I'execution du calcul de Si par la cellule 50 ne peut commencer que 

2 0 lorsque la cellule 48 a transmis la retenue de I'addition des bits A 0 et B 0 , c'est- 

a-dire lorsque le calcul de S 0 est termine. De meme I'execution du calcul de S 2 , 
S 3 par la cellule 52 ne peut commencer que lorsque la cellule 50 a fini le calcul 
de Par consequent I'addition des deux variables d'entree A, B par 
,1'additionneur de la figure 3B, necessite un temps d'execution de ZX. 
25 On concoit des lors que pour additionner trois variables d'entree A, 

B et D a I'aide de I'additionneur conventionnel de la figure 3B, le temps 
d'execution du calcul est de 3A. pour une premiere addition de A a B auquel il 
convient de rajouter 3X,, correspondant au temps d'execution d'une seconde 
addition entre le resultat de la premiere addition et la variable D. Ainsi la 

3 0 realisation d'une addition entre trois variables d'entree A, B et D a I'aide de cet 

additionneur conventionnel necessitent un temps de 6\. 
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On verifie bien a I'aide de cet exemple simplifie que le temps 
d'execution d'une addition conventionnelle est proportionnel aux nombres de 
bits des variables d'entree. 

A titre de comparaison on suppose que le temps d'execution X est le 
5 meme pour les cellules 40, 42, 44, 48, 50 et 52 des figures 3A et 3B. Ainsi, 
une addition de Carry-Save entre les variables A, B et D a I'aide de 
I'additionneur de Carry-Save s'execute en un temps de X. Pour obtenir le 
resultat de I'addition dans une seule variable, les variables C et S doivent etre 
recombinees en effectuant une operation d'addition conventionnelle entre 

10 celles-ci qui s'execute en un temps de 3X. Le temps total pour executer 
I'addition des variables A, B et D en mettant un ceuvre un additionneur de 
Carry-Save est alors egal a 4X, contre 6X dans le cas ou I'on n'utilise que des 
additionneurs conventionnels. 

On realise egalement a la lecture de la description precedente que 

15 le gain de temps realise grace a la mise en ceuvre d'additionneurs de Carry- 
Save est d'autant plus important que les additions sont realisees sur des 
grands nombres. En effet, le temps d'execution d'une addition conventionnelle 
est proportionnel au nombre de bits des variables d'entree, ce qui n'est pas le 
cas pour une addition de Carry-Save. 

20 Toutefois il est connu que I'utilisation d'additionneurs de Carry-Save 

ne presente d'interSt que pour realiser des additions entre trois variables 
d'entree. De plus le resultat obtenu en sortie d'un additionneur de Carry-Save 
se presente sous la forme d'un couple de Carry-Save ce qui necessite de 
recombiner les variables de sortie C et S par une addition conventionnelle, 

25 limitant ainsi I'interet d'un additionneur de Carry-Save. II a egalement ete 
realise qu'il est difficile d'effectuer des operations arithmetiques sur une 
variable representee sous la forme d'un couple de Carry-Save. Par exemple on 
ne peut pas simplement effectuer une operation de division par une puissance 
de 2, notee 2® , d'un couple de Carry-Save selon la relation suivante : 

3 0 (C, S)^ : = (C/2 m , S^*) 

ou C et S sont les variables du couple de Carry-Save. 
Cette difficulte est illustree sur I'exemple de la figure 4 ou : 
C = 0110 0000 0010 ;et 
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S = 01001001 1110. 

En recombinant les variables C et S selon la relation C+S on obtient 
le resultat suivant : 

C+S= 10101010 0000 (= 680 dec.) 
5 En divisant le couple de Carry-Save recombine C+S par une 

puissance de deux, ici 16, on obtient alors le resultat suivant : 

(C+S)/16 = 10101010 (= 170 dec.) 

Maintenant si Ton effectue le meme calcul mais en inversant I'ordre 
des operations, c'est-a-dire que I'on realise d'abord I'operation de division et 
10 ensuite I'operation de recombinaison, on obtient alors successivement les 
resultats numeriques suivants : 

C/16 = 0110 0000 ; 

S/16 = 0100 1001 ; 

C/16 + S/16 = 1010 1001 (= 169 dec.) 
15 On remarque done que la simple division de chaque variable C et S 

par une puissance de deux ne permet pas d'obtenir le resultat exact. II est 
done necessaire de recombiner le couple de Carry-Save (C,S) avant 
d'executer une division d'une variable stockee sous la forme d'un couple de 
Carry-Save. II n'existe pas dans I'etat de la technique actuel de solution 
2 o connue a ce probleme. 

A la lecture des inconvenients connus des additionneurs de Carry- 
Save, on concoit qu'il n'est pas evident de mettre en oeuvre ces additionneurs 
dans le cadre du calcul d'un produit de Montgomery- En effet les precedes 
connus de calcul d'un produit de Montgomery ne font intervenir que des 
2 5 operations d'additions entre deux variables et non pas trois. De plus ces 
precedes connus comportent, notamment dans la cas de la methode a radix 
eleve, des operations arithmetiques qui ne peuvent pas etre realisees sur des 
couples de Carry-Save, telles que I'operation 30 de la figure 2. 

La figure 5 represente un precede conforme a I'invention pour 
30 calculer un produit de Montgomery entre deux variables d'entree, notees aet 
b , correspondant aux residus calcules lors des etapes 4 et 6 du precede de la 
figure 1 . On utilise pour presenter ce precede les memes notations que celles 
definies en regard de la figure 2. 



<WO 020734 S0A1_I_> 



WO 02/073450 PCT/FR02/00897 

24 

La figure 5 comporte trois etapes principales 70, 72 et 74 
successives, I'etape 70 etant une etape d'initialisation, l'etape 72 etant une 
etape d'iteration d'une boucle d'operations, et I'etape 74 etant une etape de 
recombinaison et de reduction de resultat. 
5 L'etape 70 d'initialisation consiste a initialiser les variables 

necessaires pour le calcul du produit de Montgomery selon les relations 
suivantes : 

C1 : = 0 ; 

51 : = 0 ; 
10 C2:=0; 

52 : = 0 ; 
R : = 0 ; 
Ou : 

- C1 et S1 sont les variables d'un premier couple de Carry-Save 
15 note (C1 , S1 ) ; 

- C2 et S2 sont les variables d'un second couple de Carry-Save note 

(C2, S2) ; 

- R est une variable de stockage et de cumul de retenue dont 
I'interet apparaTtra a la lecture de la suite de la description. 

20 L'etape 70 consiste egalement a pre-calculer les premiers produits 

ai .b definis en regard de I'operation 24 de la figure 2. 

Pour cela on multiplie b par toutes les valeurs possibles de ai, 
c'est-a-dire les entiers naturels compris entre 0 et 2 C0 - 1 . 

La deuxieme etape 72 consiste a reiterer une boucle d'operations 
25 tant qu'un indice, note i, n'est pas superieur ou egal a une variable s-1 , 1'indice 
i etant incremente a Tissue de chaque iteration de la boucle. Cette boucle 
d'operations est notee de fa?on conventionnelle « for i=0 to s-1 ». La variable s 
qui determine le nombre d'iterations est definie de fa?on analogue a celle de 
l'etape 18 de la figure 2. 

30 La boucle d'operations 72 comporte quatre operations 76, 78, 80 et 

82 successives. 
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^operation 76 consiste a effectuer une premiere operation 
d'addition de Carry-Save entre les variables C2 divisee par 2* S2 divisee par 
2°" et un des premiers produits a r b definis en regard de I'operation 24 de la 

figure 2. Cette operation d'addition est realisee a I'aide d'un additionneur de 
5 Carry-Save selon la relation suivante : 

(C1, S1) : = C2/2 Q + S2/2"+ a r b 

ou : 

- © est le radix ; 

- (C1, S1) est le premier couple de Carry-Save forme par les 
10 variables C1 et S1; 

- a r b est un des premiers produits; 

- C2 et S2 sont les variables du second couple de Carry-Save (C2, 

S2). 

On remarquera que cette operation 76 remplit la meme fonction que 
15 les operations 24 et 30 de la figure 2 mais la premiere operation d'addition est 
realisee a I'aide d'un additionneur de Carry-Save. 

L'operation 78 consiste a realiser Taddition conventionnelle des 
variables C1 0 , S1 0 et (R^Jo puis a affecter le resultat de cette operation a une 
variable m, selon la relation suivante : 
2 0 m:= (C1 0 + S1 0 + (R/2")q). n' 0 

ou : 

-C1 0 etSlo representent les a> bits de poids faible respectivement 
des variables C1 et S1, <o etant le radix. 

- (R/2% represente les © bits de poids faible du r6sultat de la 

2 5 division de R par 2®, © etant le radix; 

- n' 0 est la variable calculee lors de I'etape 2 du procede de la figure 

1; 

- m est une variable dans laquelle le resultat est stocke. 
^operation 80 consiste a effectuer une seconde operation d'addition 

3 0 entre les variables C1, S1 et un des seconds produits m.n definis en regard de 

Toperation 28 de la figure 2. Cette addition est realisee par un additionneur de 
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Carry-Save et le resultat est affecte aux variables C2, S2 du second couple de 
Carry-Save selon la relation suivante : 

(C2, S2): = C1+S1+m.n 

ou : 

5 - C1 et S1 sont les variables precedemment calculees ; 

- m.n est Tun des seconds produits ; 

- S2 et C2 sont les variables du second couple de Carry-Save. 

On notera que I'operation 80 remplit la meme fonction que la 
seconde operation d'addition 28 de la figure 2 mais elie est realisee a I'aide 
10 d'un additionneur de Carry-Save. 

L'operation 82 consiste a calculer la variable R en additionnant de 
facon conventionnelle les variables C2 0 . S2 0> et la valeur de la variable R. Le 
resultat est affecte a la variable R selon la relation suivante : 
R : = C2o + S2 0 + R 
15 Ou : 

- C2 0 , S2 0 sont respectivement les © bits de poids faible des 
variables C2 et S2, co etant le radix; 

- R est la variable de stockage et de cumul de retenues. 

En effet, ii a ete decouvert que la difference de resultat entre 
20 I'operation (C2+S2)/2 e> et l'operation (C2/2* + S2/2 01 ), telle qu'illustree par 
Texemple de la figure 4, est egale a la retenue de I'operation C2 0 + S2 0 . On 
appelle done ici « la retenue qui risque d'etre perdue par la division de chaque 
variable C2 et S2 par une puissance de 2, notee 2 m », la retenue de I'operation 
C2 0 + S2 0 . Cette operation 82 calcule done la retenue qui risque d'etre perdue 
25 par la division de chaque variable C2 et S2 du second couple du Carry-Save 
par la puissance 2 t0 lors de I'operation 76. De plus, ici, I'operation 82 cumule la 
retenue de I'addition de C2 0 + S2 0 a chaque iteration de la boucle d'operations 
72 pour un usage ulterieur lors de I'etape 74. 

L'etape 74 de recombinaison et de reduction se compose d'une 
3 0 operation 84 de recombinaison suivie d'une operation 86 de reduction. 

L'operation 84 consiste a realiser une addition conventionnelle entre 
la variable C2 divisee par 2°, la variable S2 divisee par 2°* et la variable 
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R divisee par 2°, le resultat etant affecte a une variable u selon la relation 
suivante : 

u : = C2 /2° + S2 12* + R 12 m 
Ou : 

5 - © est le radix ; 

- C2, S2 et R sont les variables precedemrnent calculees lors de la 
boucle d'operations 72; 

- u est une variable de stockage du resultat de I'operation. 

10 On notera que cette operation est une combinaison des operations 

suivantes : 

- Une division par 2® de chaque variable du couple du Carry-Save 

(C2, S2). 

- Une operation d'extraction du cumul des retenues calculees 
15 pendant Texecution de la boucle d'operations 72, cette operation etant realisee 

en decalant a droite de © bits la variable R. 

- Une operation de recombinaison du second couple du Carry-Save 
(C2, S2), calcule pendant I'execution de la boucle d'operations 72. 

- Une operation d'addition au second couple de Carry-Save 
2 0 precedemrnent recombine du cumul des retenues qui auraient ete perdues si 

elles n'avaient pas ete stockees et cumulees dans la variable R lors de 
Texecution de la boucle d'operations 72. Cette operation permet ainsi de 
restituer la veritable valeur du resultat a Tissue de la boucle d'operations 72 
malgre des operations de division de chaque variable d'un couple de Carry- 

2 5 Save. 

L'operation 86 consiste a realiser une operation de reduction si la 
variable u est superieure au modulus n selon la relation suivante : 
u : = u - n 

ou u est le resultat du produit de Montgomery. 

3 0 Cette operation est notee de fagon conventionnelle : « If u > n then 

u : = u - n . » 

Le procede de calcul d'un produit de Montgomery conforme a 
Tinvention est nettement plus rapide que le procede connu de la figure 2. En 
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effet la premiere et la seconde operations d'addition 76 et 80 sont realisees a 
I'aide d'additionneurs de Carry-Save alors que dans le procede connu les 
premiere et seconde operations d'addition 24 et 28 sont realisees a I'aide d'au 
moins un additionneur conventionnel. De plus le procede de la figure 5 devoile 
5 une methode pour realiser une division d'une variable representee sous la 
forme d'un couple de Carry-Save par une puissance de 2, ce qui evite une 
etape de recombinaison du couple de Carry-Save avant d'executer cette 
division. Cette acceleration du temps d'execution du produit de Montgomery 
est d'autant plus sensible que les variables d'entree a , b et n sont grandes 
io c.a.d. codees sur un nombre de bits importants. (superieur a 320 bits) 

On notera que les operations 78 et 82 comportent des additions sur 
des petits nombres codes sur co bits et qu'une optimisation du temps 
d'execution de ces deux operations n'a pas d'effet sensible. 

Par ailleurs les operations 84 et 86 sont executees moins 
15 frequemment que les operations de la boucle 72, par consequent une 
optimisation de leur temps d'execution, bien que possible, n'a pas autant 
d'effet que celle des operations de la boucle 72. Toutefois, en variante ces 
operations sont accelerees. Un mode de realisation de cette variante sera 
presente en regard de la figure 9. 
20 Dans une autre variante I'ensemble des seconds produits m.n sont 

calcules avant d'executer la boucle d'operations 72 et stockes dans une 
memoire. Ainsi les operations de calcul des premiers produits a..b et des 
seconds produits m.n pendant la boucle d'operations 72 sont remplacees par 
des operations de selection des resultats de ces calculs dans ladite memoire . 
25 En variante le radix © est choisi egal a 4 bits de maniere a optimiser 

le temps d'execution du produit de Montgomery entre des variables d'entree 
codees sur 512 ou 1024 bits sur des moyens materiels de calcul. En effet, il a 
ete determine de facon similaire a ce qui a ete decrit en regard du procede de 
la figure 2 que pour de telles variables d'entree une valeur du radix <o egale a 4 
3 o bits accelere le temps d'execution du calcul du produit de Montgomery. 

De preference le mode de realisation sera une combinaison du 
procede de la figure 5 et des deux variantes decrites ci-dessus. 
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La figure 6 represente un procede de calcul d'une exponentiation 
modulaire selon la methode m-ary, pour effectuer le calcul suivant : 
M E mod n 
Ou : 

5 - M, E et n sont des entiers naturels codes en binaire sur k bits au 

maximum, 

- M est le message ; E est I'exposant ; et n est le modulus. 

La methode m-ary pour calculer une exponentiation modulaire etant 
connue, la description qui suit n'a pour but que d'introduire les elements 
10 necessaires a la comprehension de Tinvention. Le lecteur se refera au 
document D1 chapitre 2.4 « The m-ary Method » pour des informations plus 
detaillees. 

La figure 6 comporte quatre etapes successives 90, 92, 94 et 96. 
Uetape 90 consiste a calculer et a enregistrer dans une memoire les 
is exponentiations de la variable M suivantes : 
M a mod n ; 

Ou: 

- M est le message ; 

- a est un exposant ; 
20 - n est le modulus. 

L'exponentiation precedente est calculee pour toutes les valeurs de 
I'exposant a comprises entre 2 et m-1, m etant egal a 2 r , ou r est un 
parametre predefini par I'utilisateur. Cette etape est representee de fagon 
conventionnelle sur la figure 6 par le symbole « M a mod n for all a = 2, 4, ....m- 
25 1 ». 

L'etape 92 consiste a decouper la representation binaire de 
Texposant E en s' mots de r bits, notes chacun F . , ou i est un indice du mot et 
varie de 0 pour le mot le plus a droite de la representation binaire de E a s -1 
pour le mot le plus a gauche de cette meme representation binaire. s' est 
30 calcule selon la relation suivante : 

k = s 1 . r 

Ou : 
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- k est le nombre de bits de la representation binaire de E; 

- r est le parametre predefini. 

Si k n'est pas divisible par r, des bits egaux a 0 sont ajoutes a 
gauche de la representation binaire de I'exposant E pour obtenir une 
5 representation binaire comportant un nombre de bits divisible par le parametre 
r. Par exemple, si r et k sont respectivement egaux a 5 et 512 bits alors 3 bits 
de valeur nulle sont ajoutes sur la gauche de la representation binaire de 
I'exposant E pour obtenir une representation binaire comportant 515 bits ce qui 
permet d'obtenir s'egale 103. 

On obtient les differents mots F, , par exemple, par des operations 

successives de decalage a gauche de I'exposant E de r bits dans un registre a 
decalage a gauche. 

L'etape 94 consiste a calculer M'-'" mod n et a affecter le resultat a 
une variable C selon la relation suivante : 
15 C : = M F »-' mod n ; 

Ou : 

- n est le modulus ; 

- F S -i est le (s'-1 ) enieme mot determine lors de l'etape 92 ; 

- M est le message ; 

20 - C est la variable dans laquelle est stocke le resultat de I'operation 

94. 

L'etape 96 consiste a reiterer une boucle d'operations tant que 
I'indice i initialise a la valeur de s'-2 n'est pas inferieur ou egal a 0, I'indice i 
etant decrements a Tissue de chaque iteration de la boucle. Cette boucle 
25. d'operations est notee de fagon conventionnelle « for i=s'-2 downto 0 ». La 
variable s' qui determine le nombre d'iterations a ete definie precedemment. 

Cette boucle d'operations comporte deux operations 98, 100 
successives. 

L'operation 98 consiste a calculer une exponentiation modulaire de 
30 la variable C puis a affecter le resultat dans la variable C selon la relation 
suivante : 

C : =C 2 ' mod n 
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Ou : 

- C est la variable initialisee lors de I'etape 94 ; 

- r est le parametre predefini; 

- n est le modulus. 

5 L'operation 100 consiste a calculer une multiplication modulaire de 

la variable C, precedemment obtenue lors de Toperation 98, par la variable M F ' 
si le mot F,. est different de 0 selon la relation suivante : 

C : = C. M F 'mod n 
Ou : 

10 - n est le modulus ; 

- F ( . est le mot d'indice i determine lors de I'etape 92 ; 

- C est la variable precedemment calculee lors de l'operation 98. 
Cette operation est representee de fagon classique sur la figure 6 

par le symbole « If F . *o Then C : = C. M Fi mod n ». 

15 A Tissue de I'executton de la boucle d'op6rations 96, la variable C 

contient le resultat de I'exponentiation modulaire du message M. 

La methode de m-ary decrite ci-dessus pour calculer une 
exponentiation modulaire met en oeuvre approximativement 5 operations de 
20 multiplication modulaire, 5 etant calcule par la relation suivante : 
5 = 2 r -2 + k - r + (k/r-1 ) (1- 1/2 r ) 
Ou : 

- k est le nombre de bits de I'exposant E ; 

- r est le parametre predefini. 

2 5 Ceci represente une reduction du nombre d'operations par rapport a 

d'autres precedes connus tels que Talgorithme binaire LR, de 17 a 18 % 
lorsque Texponentiation porte sur des grands nombres codes sur 512 ou 1024 
bits. Toutefois certaines methodes sont connues pour etre encore plus rapides, 
telles que par exemple Talgorithme binaire RL qui permet un parallelisme des 

3 0 operations. Cependant il a ete determine de fagon experimentale que la 

methode m-ary pour un parametre r choisi 6gal a 5 bits est un compromis 
optimal entre le nombre d'operations de multiplication modulaire effectuees et 
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les ressources necessaires pour mettre en oeuvre cette methode. Par 
ressources on designe par exemple le nombre de cellules d'un composant 
FPGA. 

La figure 7 illustre un precede de calcul d'une exponentiation 
5 modulaire conforme a I'invention illustre dans le cas du calcul de 
I'exponentiation suivante : 
M E mod n 
Ou : 

- M, E et n sont des entiers naturels codes en binaire sur 512 bits au 
10 maximum ; 

- M est le message : 

- E est I'exposant ; et 

- n est le modulus 

Le precede d' exponentiation modulaire conforme a I'invention met 
15 en ceuvre la methode m-ary dans laquelle les multiplications modulaires sont 
realisees selon le precede de Montgomery decrit en regard de la figure 1 . Les 
produits de Montgomery mis en ceuvre par le precede de Montgomery sont, 
par exemple, calcules selon le precede de la figure 5 avec un radix egal a 4 
bits. De plus dans le cas particulier decrit ici le parametre r de la methode de 
20 m-ary est choisi egal a 5 bits de maniere a accelerer le temps d'execution du 
calcul de I'exponentiation pour des variables d'entree codees sur 512 ou 1024 
bits. 

Ce precede comporte sept etapes 110, 112. 114, 116, 118, 120 et 
1 22 successives. 

25 L'etape 110 consiste a calculer le residu de Montgomery du 

message M selon la relation suivante : 
M : = M.p mod n 
ou : 

- M est le message; 

30 - p est le parametre de la methode de Montgomery defini lors de 

l'etape 4 du precede de la figure 1 selon la relation suivante : p = 2 k , ou k est le 
nombre de bits du modulus n ; 

- n est le modulus ; 
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M. 



- M est la variable dans lequel est enregistre le residu du message 

Le calcul du residu de M s'effectue par des methodes classiques 
telles que ralgorithme d'Eucfide etendu. 

L'etape 112 consiste a calculer la variable n' 0 selon la relation 
su.vante n' 0 - - no" 1 . Ce calcul ayant deja ete decrit en regard de l'etape 2 de 
la figure 1 il ne sera pas decrit ici plus en detail. Ce calcul s'effectue egalement 
par des methodes classiques telles que ralgorithme d'Euclide etendu. 

L'etape 114 consiste a calculer I'ensemble des seconds produits 
m.n. Pour cela le produit m.n est calcule pour chaque valeur de m comprise 
entre 0 et 15. En effet, I'examen de ('operation 26 de la figure 2 montre que m 
est congru a u 0 . n' 0 modulo 2\ de sorte que la valeur de m ne peut etre 
comprise qu'entre 0 et 15 lorsque le radix co est egal a 4 bits. 

L'etape 116 consiste a elever a la puissance a le residu M au sens 
de Montgomery, pour I'ensemble des differentes valeurs de a comprises entre 
2 et 31. En effet le parametre r de la methode m-ary est ici egal a 5 bits il 
decoule de l'etape 90 du^procede de la figure 6 qu'il n'est pas necessaire de 
calculer les puissances Msuperieures a 31. Cette etape 116 est par exemple 
real,see par trente et un produits de Montgomery successifs selon la relation 
suivante : 

M a = MonPro (M,M a " 1 ) 

ou MonPro designe un produit de Montgomery calcule par exemple 
selon le precede de la figure 5. 

Lors de cette etape, les operations suivantes sont successivement 
effectuees : 

M 2 : = MonPro (M,M), ou M a ete calcule lors de l'etape 110 ; 

M 3 : = MonPro (M, M 2 ), ou M 2 a ete calcule lors de I'operation 
precedente ; 

etc... 

Ainsi on obtient successivement M 2 jusqu'a M 31 . 
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L'etape 118 consiste a decouper I'exposant E en une succession de 
mots de 5 bits appeles F ; conformement a l'etape 92 de la methode m-ary 
decrite en regard de la figure 6. Ensuite, toujours dans l'etape 118, la valeur de 

M F 102 est affectee a une variable C selon la relation suivante : 



5 C : = M 

Ou Fio2est le 102 enieme mot tel que defini en regard de l'etape 
94 de la figure 6. 

On notera que lors de cette etape, M n'a pas besoin d'etre 
calcule puisque ce calcul a deja ete effectue lors de l'etape 116. 
io L'etape 120 consiste a reiterer une boucle d'operations tant qu'un 

indice i initialise a la valeur 101 n'est pas strictement inferieur a 0, I'indice i 
etant decrements de 1 a chaque iteration de la boucle d'operations. La valeur 
initial de I'indice i est calculee conformement a l'etape 96 de la figure 6 pour un 
parametre r de la methode m-ary egal a 5 bits et une valeur de la variable k 
15 egale a 51 5 bits. 

La boucle d'operations se compose de deux operations successives 

126 et 128. 

L'operation 126 consiste a calculer et a stacker I'elevation a la 

puissance 32 de la variable C selon la relation suivante : 

20 C : = C 32 

Ou : 

-C est la variable initialisee a l'etape 118 ; 

32 est calcule conformement a l'operation 98 de la methode m-ary 
de la figure 6, selon la relation 32= 2 5 , ou 5 est la valeur du parametre r de la 
25 methode m-ary. 

L'operation 128 consiste a calculer le produit de Montgomery de la 

variable C par la variable M F ' et a stacker ce resultat selon la relation 

suivante : 

C : = MonPro(C,M F| ) 
30 ou : 
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- M F, est selections parmi les puissances de M calculees a I'etape 
116 connaissant la valeur de F| ; 

- MonPro designe ('operation produit de Montgomery, par exemple 
executee conformement au procede de la figure 5. 

> On notera que cette operation 128 comporte egalement un test de 

la valeur de F, de maniere a executer le produit de Montgomery que si la 
valeur de Fj est differente de 0. 

En variante le produit de Montgomery est systematiquement 
execute pour eviter le test de la valeur de F,. 

A Tissue de I'etape 120, I'etape 122 est executee. Cette etape 
consiste a calculer le produit de Montgomery entre la variable C et I'unite 1 et 
a stacker ce resultat, selon la relation suivante 
C := MonPro (C, 1) 
Ou : 

p - C est la variable calculee a I'etape 120 ; 
1 represente I'unite ; 

C est une variable dans laquelle est enregistree le resultat de 
I'exponentiation modulaire du message d'entree M. 

On remarque que la combinaison de la methode m-ary et du 
procede de Montgomery pour calculer des multiplications modulaires est 
particulierement interessant dans le cas du calcul d'une exponentiation 
puisque le residu de Montgomery du message d'entree M n'est calcule qu'une 
seule fois. L'inconvenient du procede de Montgomery, c'est-a-dire la necessite 
de calculer les residus des variables d'entree avant d'effectuer des produits de 
Montgomery est ainsi limite. Cette combinaison de la methode m-ary et du 
procede de Montgomery permet done d'accelerer le temps d'execution du 
calcul d'une exponentiation modulaire. 

En variante on peut egalement combiner le procede de la figure 7 a 
la methode des restes chinois (egalement appelee methode CRT). La methode 
des restes chinois est succinctement decrite a la figure 8. Cette methode etant 
connue, le lecteur se referera pour plus de detail au chapitre 4.1: « Fast 
Decryption using CRT » du document D1 . 
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La methode des restes chinois permet de decomposer une premiere 
operation d'exponentiation modulaire en deux secondes operations 
d'exponentiation modulaire avec des exposants et des modulus plus petits. 

La premiere exponentiation modulaire est notee comme suit : 
5 M E mod n 

ou : 

- M est un message d'entree; 

- E est un exposant; 

- n est un modulus se decomposant sous la forme d'un produit tel 
10 que n=P.Q, ou P et Q sont des entiers naturels premiers. 

Dans une premiere etape 130, cette premiere exponentiation est 
decomposee en deux secondes exponentiations respectivement modulo E1 et 
E2 que Ton calcule separement, selon les relations suivantes : 

M1 : = M E1 mod P 
15 M2 : = M E2 mod Q 

ou : 

- M est le message d'entree ; 
-E1 =Emod(P-1); 

- E2 = E mod (Q-1) ; 

20 - M1 et M2 sont des variables de stockage des resultats 

intermediates. 

Dans une etape 134 suivante, le resultat de la premiere 
exponentiation modulaire est obtenu en combinant les variables M1 et M2 
precedemment calculees, selon la relation suivante : 
25 M : = M2 + [(M1 - M2). (Q" 1 mod P) mod P]. Q 

Ou : 

- M1 et M2 sont les variables calculees a i'etape 130; 

- Q et P sont les nombres premiers tels que n = P.Q. 

k etant le nombre de bits necessaires pour coder le modulus n, il est 
30 possible de choisir P et Q tel que P et Q aient un nombre de bits sensiblement 
egal a k/2. Dans ces conditions, on estime que la methode des restes chinois 
permet de reduire d'un facteur 4 le nombre d'operations requises pour calculer 
la premiere exponentiation, lorsque celle-ci est mise en oeuvre par des moyens 
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logiciels de calcul. Ce facteur est de ,'ordre de 2 .orsque la methode des restes 
ch.no.s est mise en ceuvre par des moyens materiels de calcul tels qu'un 
composant FPGA. De plus, pour acce.erer ie temps d'execution du ca.cu, de la 
prem.ere exponentiation, les calculs des variables M1 et M2 peuvent etre 
effectues en parallele. 

On notera que cette methode permet ainsi de decomposer une 
prem.ere exponentiation modulaire portant sur des grands nombres codes sur 
1024 b,ts en deux secondes exponentiations modulaires portant sur des 
grands nombres codes sur 512 bits. 

Des estimations de temps de calcul d'une premiere exponentiation 
modulaire ont ete effectuees dans les conditions suivantes : 

- la premiere exponentiation modulaire portant sur des grands 
nombres de 1024 bits est decomposee en deux secondes exponentiations 
modulaires de 512 bits chacune. 

- chacune des secondes exponentiations modulaires est calculee 
selon le procede de la figure 7 dans lequel les produits de Montgomery sont 
calculees selon le procede de la figure 5. 

Dans ces conditions lorsque le procede est mis en ceuvre par un 
composant FPGA travail.ant a 40 MHz le temps d'execution du ca.cu. de .a 
prem.ere exponentiation est sensiblement egal a 4.71 milli secondes. 

Dans les memes conditions mais pour des grands nombres codes 
sur 1024 bits il a ete determine que le temps d'execution du ca.cu. d'une 
prem/ere exponentiation est sensiblement egal a 1 7.8 milli secondes 

La figure 9 represent schematiquement des moyens materiels de 
calcul 150 conforme a Invention. Ces moyens materiels sont appe.es ici 
« mu.fplieur de Montgomery ». Sur cette figure seuls les elements specifiques 
a Invention ont ete represents. Les autres composants non represents mais 
necessaires a la mise en ceuvre du procede de la figure 5 peuvent etre 
a.sement determines, de facon classique a partir des elements decrits 
precedemment. Ainsi les composants necessaires pour mettre en ceuvre .es 
operations 78 et 82 de la figure 5 ainsi que les operations de divisions n'ont 
pas ete represents. De meme les tampons de stockage des variables C1, S1, 
C2, S2, R et u ne sont pas represents. 
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Ce multiplieur 150 comporte une memoire 152 raccordee a I'entree 
et a la sortie de moyens 154 de calculs specifiques, sous le contrdle de 
moyens de commande 156. 

Le multiplieur de Montgomery 150 decrit ici a titre d'exemple est 
5 adapte pour cooperer avec des moyens principaux de calcul (non 
representes). Ces moyens principaux de calcul executent par exemple une 
exponentiation modulaire selon le procede de la figure 7. Dans une telle 
situation le multiplieur de Montgomery 50 est un coprocesseur permettant 
d'accelerer le temps d'execution des produits de Montgomery, 
o La memoire 152 est raccordee par I'intermediaire de bus d'entree / 

sortie de donnees aux moyens principaux de calcul (non representes). 

La memoire 152 est adaptee pour stacker les variables suivantes : 
la variable M calculee lors de I'etape 110 du procede de la figure 7 ; 
la variable n' 0 calculee lors de I'etape 112 du procede de la figure 7 ; 
L5 ies seconds produits m.n calcules lors de I'etape 1 14 du procede de 

la figure 7 ; 

les variables M a calculees lors de I'etape 116 de la figure 7 ; 
la variable C initialisee lors de I'etape 118 et calculee lors des 
operations 126 et 128 du procede de la figure 7 ; 
20 I'unite 1 necessaire pour la realisation de I'etape 122 du procede de 

la figure 7 ; et 

les premiers produits ai. b pre-calcules lors de I'etape 70 du 

procede de la figure 5. 

Les moyens 154 de calculs specifiques comportent un premier et un 
25 second additionneurs de Carry-Save 157, 158, un premier et un second 
additionneurs convention nels 160 et 162, un registre a decalage a droite 164 
et un soustracteur conventionnel 166. 

Le premier additionneur de Carry-Save 157 est raccorde a une 
sortie de la memoire 152 et a une sortie du second additionneur du Carry-Save 
30 158. II est egalement raccorde a I'entree du second additionneur de Carry- 
Save 158. Cet additionneur de Carry-Save est ici destine a realiser la premiere 
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operation d'addition 76 du precede de la figure S. Sa structure eat Casslque et 
decoule de celle decrite en regard de la figure 3A. 

Le second additionneur de Carry-Save 1 58 est raccorde a la sortie 
de la memoirs 152 et a une sortie du premier additionneur de Carry-Save 157 
• H est egalement raccorde a une entree du premier additionneur de Carry-Save 
157. Cat additionneur 158 est. ici. destine a realiser la seconde operation 
daddfon 80 du precede de ,a figure 5. Sa structure est similaire a celle du 
premier additionneur de Carry-Save 157. 

Le premier additionneur conventionnel 160 est raccorde a une 
entree e. a la sortie de la memoire 152. Cet additionneur est destine a realiser 
le pre-calcu. des premiers produits 51. b et des seconds produits m n Par 
exemple le calcul des seconds produits m.n est realise selon la succession de 
calculs suivant : 

2. N := N+N 

3. N := N+2.N 

4. N :=N+3.N 
etc... 

Les resultats des calculs des premiers et des seconds produits sort 
ensurte stockes dans la memoire 152 aux emplacements prevus a cet effet 

Le second additionneur conventionnel 162 est raccorde a la sortie 
du second additionneur de Carry-Save 158 et a une entree du soustracteur 
166. Ce second additionneur 162 est destine a realiser Iteration de 
recombinaison 84 de la figure 5. Sa structure decoule de celle decrite en 
regard de la figure 3B. Toutefois les cellules qui le composent telles que la 
cellule 48 de la figure 3B, sent regroupees en etages de 32 cellules. La sortie 
de cheque etage est directement raccordee a un etage correspondent dans le 
soustracteur 166 de maniere a ce que, des que le calcu, de l addition dans un 
des etages est fini. le result* est directement transmis a I'etage correspondent 
du soustracteur 166 sans attendre. Ainsi le soustracteur 166 execute 
•operation de soustraction avec seulement un cycle d'horioge de retard sur 
I operation d'addition. Cette structure est connue sous le nom de « Pipe lln e ,, 
et permet d accelerer le temps d'execution des operations 
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Le soustracteur 166 est adapte pour realiser I'operation 86 de la 
figure 5. II est done par exemple raccorde aux sorties du second additionneur 
conventionnel 162 et de la memoire 152. II est egalement raccorde a une 
entree de la memoire 152, par exemple, pour stacker le resultat de I'operation 

5 de reduction 86. 

Le registre a decalage a droite164 est adapte pour decaler a droite 
de co bits, co etant le radix de la methode de Montgomery a radix eleve. Ce 
registre 164 est destine a realiser les operations calcul des ai , le resultat etant 
alors utilise pour selectionner Tun des premiers produits ai . b correspondent 

10 dans la memoire 152. Les connexions du registre a decalage 164 avec les 
autres composants de la figure 9 n'ont pas ete representees pour simplifier la 
representation schematique, de telles connexions pouvant aisement etre 
determinees. 

Les moyens de commande 1 56 sont adaptes pour commander le 
15 fonctionnement des moyens de calculs specifiques 154 et de la memoire 152 

conformement au precede de la figure 5. Ces moyens de commande sont 

realises de facon classique. 

L'ensemble des elements de la figure 9 sont, par exemple, 

implantes dans un composant FPGA ou dans un composant ASIC. En variante 
20 ce composant est associe a d'autres composants electroniques sur une carte 

electronique de maniere a realiser une carte electronique conforme au 

standard PCI. Une carte conforme au standard PCI est enfichable dans des 

ordinateurs classiques, ces derniers etant alors adaptes pour former les 

moyens principaux de calcul. 
25 Dans le cas d'un composant FPGA dont la reference est XILINX 

XCV1600E-6 fonctionnant a 45 MHz, les estimations du nombre de cycles 

d'horloge requis pour executor chaque etape du precede de la figure 5 sont les 

suivantes : 

35 cycles d'horloge pour I'etape 70 ; 
3 o 260 cycles d'horloge pour I'etape 72 ; 

39 cycles d'horloge pour I'etape 74 de recombinaison et de 

reduction. 
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Ainsi ('estimation du nombre de cycles d'horioge total pour calculer 
un produit de Montgomery selon le procede de la figure 5 est de 334 cycles 
dhorloge pour des variables d'entree codees sur 512 bits. 

Dans ces conditions il a egalement ete estime que le procede de la 
figure 7 met en ceuvre 643 produits de Montgomery et que I'etape 114 de la 
figure 7 de pre-calcul des seconds produits m.n necessite 38 cycles d'horioge 
On obtient ainsi une estimation du nombre de cycles d'horioge necessaires 
pour calculer une exponentiation modulaire portant sur des grands nombres de 
512 bits egale a 214223 cycles d'horioge. Ceci correspond pour une frequence 
de fonctionnement du composant FPGA de 45 MHz a un nombre 
d'exponentiations 512 bits sensiblement superieur a 200 par seconde. On 
notera que pour cette estimation on considere que les etapes 110 et 112 du 
procede de la figure 7 sont executees par les moyens principaux de calcul 
associes au multiplieur de Montgomery 150. Par consequent le nombre de 
cycles d'horioge requis pour executer ces deux operations n'est pas pris en 
compte dans cette estimation. On admet toutefois que leur temps d'execution 
estapproximativement 10 fois inferieur a celui des etapes 114 a 122. 

En variante les moyens de calculs specifiques 154 comportent un 
seul additionneur de Carry-Save. En effet lors de I'execution du procede de la 
figure 5, la premiere operation d'addition 76 precede toujours la seconde 
operation d'addition 80 puisque le resultat de la premiere addition 76 est utilise 
dans cette seconde operation d'addition 80. Par consequent le premier et le 
second additionneurs de Carry-Save 157, 158 ne sont jamais actifs en meme 
temps, il est done possible de les remplacer par un seul additionneur de Carry- 
Save realisant alternativement la premiere operation d'addition 76 et la 
seconde operation d'addition 80. 

La figure 10 represente schematiquement des moyens materiels de 
calcul 200 conforme a Invention associes a des moyens principaux de calcul 
201. Sur ce schema seuls les composants electroniques principaux ont ete 
represent.es, les autres composants pouvant etre aisement determine. 

Les moyens principaux de calcul 201 sont adaptes pour realiser des 
exponentiations modulaires selon le procede de la figure 7 en cooperant avec 
les moyens materiels de calcul 200. lis sont, par exemple, formes avec un 
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ordinateur. Dans le cas particulier decrit ici, les moyens 201 sont adaptes pour 
realiser une premiere et une seconde exponentiations modulaires. La premiere 
et la seconde exponentiations modulaires sont chacune realisees selon le 
precede de la figure 7 et par consequent mettent en oeuvre respectivement 
5 des premiers et des seconds produits de Montgomery. 

Les moyens materiels de calcul 200 sont adaptes pour former un 
coprocesseur pour les moyens principaux de calcul 201. II comporte un 
multiplieur de Montgomery 202 associe a des moyens de decalage a gauche 
204, sous la commande de premiers moyens de commande 206. 
10 Le multiplieur de Montgomery 202 est une variante du multiplieur de 

Montgomery 150 de la figure 9 dans lequel I'utilisation des ressources est 
optimisee. En effet il est adapte pour executer sensiblement en parallele les 
premiers et les seconds produits de Montgomery sans pour autant dedoubler 
les ressources a mettre en oeuvre. II permet ainsi de diviser par deux le temps 
15 d'execution de deux produits de Montgomery. 

Ce multiplieur de Montgomery 202 comporte une memoire 210 
associee a des moyens de calculs specifiques 212, sous le controle de 
seconds moyens de commande 214. De meme que sur la figure 9, seuls les 
composants principaux ont ete representes, les autres composants sont 
20 aisement determinables. 

La memoire 210 est adaptee pour stacker les variables suivantes : 
le residu M d'un message d'entree M de la premiere 
exponentiation, calcule lors de I'etape 110 du procede de la figure 7 par les 
moyens de calcul 201 . 
25 le residu. M' d'un message d'entree M' de la seconde 

exponentiation, calcule lors de I'etape 110 du procede de la figure 7 par les 
moyens de calcul 201 . 

- les variables n' 0 et n" 0 calculees lors des etapes 112 du procede 
de la figure 7 respectivement pour la premiere et la seconde exponentiations 

3 o modulaires ; 

les seconds produits m.n et m'.n' calcules lors des etapes 114 du 
procede de la figure 7 respectivement pour la premiere et la seconde 
exponentiations modulaires ; 
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les variables M a est M' a calculees lore des etapes 116 du procede 
modLSr reSPeCliVemen ' P ° Ur ' a « » «=•*• exponentiations 

les variables C et C' calculus lore de I'etape 118 et lore des 
5 operafions 126 e, ,28 du procede de ,a figure 7 respecfivemen, pour ,a 
prem.ere et la seconde exponentiations modulaires ; 

figure 7- ' ""^ ^ P ° ur ex6cuter ''« a Pe 122 du procede de la 

les modulus n et «■ respectivement de la premiere et de la seconde 
10 exponentiations modulaires. oeconoe 

d en, • m6m ° ire C ° mPOrte U " Prem ' er et un "™* <™s 

mT, T*~ ^ man ' 6re * enre9iS * rer Ceux donnees 

TrT S „ C ° mPOrte 69a ' emen ' U " Premfer * un sec °" d '-Pons de 
15 I! d V 0r "* eS dS m "*» * ™*- simultanemen, a disposition des 
moyens de calculs specifiques 212 deux donnees differen.es. une dans 
chaque (ampon de donnees. 

Les moyens 212 de calculs specifiques component uh premier et un 
second regislres a decalage a droite 216, 218. un premier et un second 
add,t,onneurs conventionnels 220. 222. un bloc d'additionneure de Carry-Save 
I o 224 e, un bloc 226 de recombinaison et de reduction. 

Le premier registre a decalage a droite 216 est raccorde au premier 
.ampon de sortie de iQn ^ ^ , g ^ ^ . ^ ^ 

addrfionneur convenfionnel 220. Ce premier registre a decalage 216 es. 
des.,ne a etre utilise ,ors des operations de calcu, de ,a premiere 
exponent modulalre. Alns, ce registre es. ufilise de fa 5 on simlire Z 
registre 1 64 de la figure 8 pour calculer les a, . 

Le second registre a decalage 218 est similaire au premier registre 
a decalage 216. Tou.efois ce.ui-ci es, raccorte au second tampon de sortie de 
donnees de ,a memoire 210 e« a renlree du second additionneur convenfionnel 

1,1 H 7 * d6Ca ' age SS * deS,i " 6 * S,re " m * ,ore des oP*-«on. de 
calcul de la seconde exponentiation modulalre. 
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Le premier additionneur conventionnel 220 est raccorde au premier 
tampon d'entree de donnees de la memoire 210. Cet additionneur 
conventionnel 220 est destine a etre utilise pour le calcul de la premiere 
exponentiation modulaire. Sa structure et son fonctionnement sont similaires a 
5 I'additionneur conventionnel 1 60 de la figure 8. 

Le second additionneur conventionnel 222 est raccorde en sortie du 
second registre a decalage 118 et au second tampon d'entree de la memoire 
210. Sa structure et son fonctionnement sont similaires a I'additionneur 

conventionnel 160 de la figure 8. 
10 Le bloc 224 d'additionneurs de Carry-Save est raccorde au premier 

et au second tampons de sortie de donnees de la memoire 210, et a Tentree 
du bloc 226 de recombinaison et de reduction. Ce bloc 224 comporte deux 
additionneurs de Carry-Save 230 et 232. Le premier et le second additionneurs 
de Carry-Save 230, 232 sont respectivement adaptes pour realiser la premiere 
15 operation d'addition 76 et la seconde operation d'addition 80 du procede de la 
figure 5. Ces deux additionneurs de Carry-Save 230, 232 sont commandes par 
les seconds moyens de commande 214 pour que les operations de calcul du 
premier et du second produits de Montgomery soient entrelacees. Ainsi apres 
une phase ^initialisation, la premiere operation d'addition 76 pour le premier 
20 produit de Montgomery est executee par le premier additionneur de Carry- 
Save 230 tandis que, dans le meme temps, la seconde operation d'addition 80 
pour le second produit de Montgomery est executee par le second 
additionneur de Carry-Save 232. Ensuite lors des operations suivantes 
d'execution de la boucle d'operations 72, la situation s'inverse, c'est-a-dire que 

2 5 I'additionneur de Carry-Save 230 execute la premiere operation d'addition 76 

pour le calcul du second produit de Montgomery tandis que, dans le meme 
temps, le second additionneur de Carry-Save 232 execute la seconde 
operation d'addition 80 pour le calcul du premier produit de Montgomery. Les 
seconds moyens de commande 214 mettent a profit le fait que dans le 

3 0 procede de la figure 5 applique au calcul d'un seul produit de Montgomery, la 

premiere et la seconde operations d'addition sont toujours successives et ne 
peuvent pas etre realisees en meme temps. Par consequent lors du calcul d'un 
seul produit de Montgomery il existe toujours un additionneur de Carry-Save 
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inactif. Ainsi les seconds moyens de commande decrits ici, commandent 
('additionneur de Carry-Save inactif pour executer une operation d'addition 
destinee a un second produit de Montgomery execute en parallele avec le 
premier. 

5 Le bloc 226 de recombinaison et de reduction se compose d'un 

additionneur conventionnel 236 raccorde a I'entree d'un soustracteur 
conventionnel 238. L'additionneur conventionnel 236 est raccorde a la sortie 
du bloc 224 d'additionneurs de Carry-Save. Cet additionneur conventionnel 
236 est adapte pour realiser I'operation 84 de recombinaison du procede de la 
10 figure 5. 

Le soustracteur 238 est raccorde par exemple a I'entree des 
moyens principaux de calcul 201 apte a utiliser le resultat du produit de 
Montgomery. Le soustracteur 238 est adapte pour realiser I'operation de 
reduction 86 du procede de la figure 5. 

Les seconds moyens de commande 214 sont realises de facon 
conventionnelle et sont raccordes a I'ensemble des composants du multiplieur 
de Montgomery 202. lis sont egalement adaptes pour commander les 
differentes operations de calcul du premier et du second produits de 
Montgomery realisees par le multiplieur de Montgomery 202. 

Le multiplieur de Montgomery 202 est realise, par exemple, a I'aide 
d'un composant FPGA ou ASIC! 

Les moyens 204 de decalage a gauche sont raccordes a I'entree et 
a la sortie des moyens principaux de calcul 201 sous la commande des 
premiers moyens de commande 206. 

Les moyens 204 pour effectuer un decalage a gauche component 
une memoire 240 de type RAM (Random Access Memory) dans laquelle sont 
stockes un premier et un second exposants correspondant respectivement a 
ceux de la premiere et de la seconde exponentiations modulaires. Le premier 
et le second exposants sont notes respectivement E1 et E2. Cette memoire 
240 est raccordee a I'entree d'un premier et d'un second registres a decalage 
a gauche 242, 244 de r bits, r etant le parametre de la methode m-ary. 

Le registre a decalage a gauche 242 est adapte pour determiner et 
fournir les variables Fj issues de I'exposant E1 conformement a I'etape 118 du 
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precede de la figure 7. Ce registre a decalage comporte un nombre de bits 
inferieur a celui de I'exposant E1, par exemple 32 bits alors que I'exposant E1 
est code sur 512 bits. Ainsi des que I'ensemble des bits contenus dans ce 
registre ont ete decales, le registre est immediatement recharge avec les 32 
5 bits suivants de I'exposant El extrait de la memoire 240. Ceci permet d'utiliser 
un registre a decalage de 32 bits pour decaler des nombres codes sur un 
nombre de bits superieurs. 

Le registre a decalage a gauche 244 est simiiaire au registre a 
decalage 242, toutefois il est destine a fournir les variables F'j issues de 

10 I'exposant E2. 

Les premiers moyens de commande 206 sont raccordes aux 
moyens 204 de decalage a gauche et aux seconds moyens de commande 
214. lis sont adaptes pour commander les moyens 204 de decalage a gauche 
et le multiplieur de Montgomery 202 par Tintermediaire des seconds moyens 

15 de commande 214. lis sont egalement raccordes aux moyens principaux de 
calcul 201 et adaptes pour cooperer avec ces derniers pour mettre en ceuvre le 
procede de la figure 7. Ainsi les etapes 110 et 112 du procede de la figure 7 
sont, par exemple, realisees par les moyens de calcul 201 tandis que les 
etapes 114 a 122 mettent en oeuvre les moyens materiels de calcul 200 pour 

2 o accelerer le temps de calcul. 

L'ensemble des elements de la figure 10 sont, par exemple, 
implantes dans un composant FPGA ou dans un composant ASIC. En variante 
ce composant est associe a d'autres composants electroniques sur une carte 
electronique de maniere a realiser une carte electronique conforme au 

25 standard PCI. Une carte conforme au standard PCI est enfichable dans des 
ordinateurs classiques, ces derniers etant alors adaptes pour former les 
moyens principaux de calcul. 

En variante, la premiere exponentiation modulaire est realisee sur 
les poids faibles du message d'entree tandis ce que la seconde exponentiation 

30 modulaire est realisee sur les poids forts de ce meme message, les resultats 
des exponentiations sur les poids faibles et les poids forts etant ensuite 
recombiner pour obtenir le resultat final. 
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Le fonctionnement des composants des moyens materiels de calcul 
represents aux figures 9 et 10 est classique en lui-meme. Le fonctionnement 
de la cooperation de ces differents composants entre eux decoule directement 
des precedes decrits en regard des figures 5 et 7. Par consequent la 
5 cooperation des differents composants entre eux ne sera pas decrite ici plus 
en detail. 

Le fonctionnement du precede de la figure 7 va maintenant §tre 
illustre a I'aide d'un exemple simple consistant a calculer I'exponentiation 
modulaire suivante : 
10 149 100 mod165 
ou : 

- 149 est la valeur du message d'entree en decimale, note M dans 
cet exemple ; 

- 100 est la valeur de I'exposant en decimale, note E dans cet 

15 exemple ; 

- 165 est la valeur du modulus en decimale, note n dans cet 

exemple. 

Dans la suite de cet exemple, et pour simplifier la presentation, les 
produits de Montgomery sont calcules selon le precede de Montgomery a radix 
2 o eleve de la figure 2 et non pas suivant le precede de la figure 5. Le radix est ici 
choisi egal a 4 bits. 

Par ailleurs, le parametre r de la methode m-ary est choisi ici egal a 

5 bits. 



25 Les representations binaires de M, n et E sont les suivantes : 

M = 1001 0i01 ( = 149 dec.) 
E = 0110 0100 ( = 100 dec.) 
N = 1010 0101 ( = 165 dec.) 

On deduit de ces representations binaires que les variables d'entree 
3 0 sont codees sur 8 bits et que par consequent le parametre p de I'etape 1 10 de 
la figure 7 necessaire pour calculer le residu de M, note M , est egal a 2 8 , e'est- 
a-dire a 256. L'etape 1 10 du precede de la figure 7 consiste done a realiser le 
calcul suivant : 
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M = 149X256 mod 165. 

On obtient par une methode classique, telle que I'algorithme 

d'Euclide etendu : M = 29 dec. 

L'etape 112 de la figure 7 consiste a calculer n'o selon la relation 
5 definie a I'etape 2 de la figure 1 . Pour cela on determine d'abord n 0 , c'est-a- 
dire les 4 bits de poids faible du modulus n. On a done n 0 egal 5. Ensuite, n 0 " 1 
est calcule a Taide de la relation suivante : 

n 0 .n 0 " 1 = 1 mod 16 

Pour calculer la valeur de la variable n 0 ~ 1 on exploite le fait que cette 
10 valeur est un entier naturel compris entre 0 et 15. Par consequent pour chaque 
valeur possible de la variable n 0 ~ 1 le produit suivant est calcule : 
n 0 .no" 1 mod 16 

Ensuite, on selectionne la valeur de n 0 ~ 1 satisfaisant la relation 
precedemment definie. Par cette methode on determine que n 0 " 1 est egal a 13. 
15 On calcule ensuite son complement a 1 et Ton obtient n'o = 3. 



Uetape 114 du procede de la figure 7 consiste a pre-calculer les 16 
valeurs possibles des seconds produits m.n. Etant donne la simplicity de 
I'exemple decrit ici, ceci sera fait non pas dans cette etape mais directement 
20 au moment ou la valeur de Tun des seconds produits est requise. 

Uetape 116 consiste a calculer M a pour les valeurs successives de 
a comprises entre 2 et 31. Toutefois, dans I'exemple particulier decrit ici, 
Texposant E se decompose en seulement deux mots de 5 bits F 0 et Fi dont les 
valeurs sont les suivantes : 
25 F 0 = 00100 ( = 4 dec.) 

Fi = 00011 ( = 3dec.) 

Par consequent seuls les variables M 3 et M 4 sont necessaires pour 
I'execution des etapes suivantes. On ne calculera done ici que ces deux 

variables M 3 et M 4 . 

3 0 Pour calculer M 3 et M 4 les operations suivantes sont 

successivement effectuees : 

M 2 = MonPro(M, M) 
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M 3 =MonPro(M, M 2 ) 
M 4 =MonPro(M, M 3 ) 

Le calcul de ces differents produits de Montgomery est effectue 
selon le precede decrit en regard de la figure 2. Le precede etant identique 
5 pour le calcul de M 2 , M 3 et M 4 , on ne decrit ci-dessous que le calcul de M 2 

A I'etape 16 du precede de la figure 2 applique au calcul de M 2 , les 
premiers produits Mj. M sont pre-calcules, oCi la variable Mi prend 
successivement les deux valeurs suivantes : 

Mo = 1101 ( = 13 dec.) 
10 M, = 0001 ( = 1 dec.) 

Apres calcul, on obtient : 

M 0 .M=377;et 

Mi.M =29. 

La boucle 18 d'operations de la figure 2 est ensuite executee 
15 successivement pour les indices i = 0 et i=1 . 

Pour i = 0, les operations 24 a 30 de la boucle 18 sont done les 

suivantes : 

u : = M 0 -M= 1 0111 1001 (= 377 dec.) 
m : = u 0 .n'o mod 2 03 = 93 mod 16 = 11 
20 u: = u + m.n = 377 + 11 X 165 = 2192 

u : = u/2 0> =2192 / 16 = 137. 

Pour I'incide i = 1, les operations 24 a 30 de la boucle 18 sont done 
les suivantes : 

u : =u + Mi.M = 137 + 1 29=166 

25 m : = uo.n'o mod 2 a> =3 6 mod 16 = 2 

u := u + m.n = 166 + 2 165 = 496 

u : = u / 2 <D =496 / 16 = 31 

On obtient done M 2 = 31. De fagon similaire on determine M 3 = 
164 ;et M 4 = 16. 
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On rer^iafcjue gue M 4 a Tissue de la boucle d'operations 18 est egal 
181 ' 8wPP^^^^^^^'::^o.dultis, par consequent I'etape 20 de 
reduction doit etre executeeT \ 

Lors de I'operation 118 du procede de la figure 7, la valeur de la 

5 variable M Fs " 1 , c'est-a-dire ici M F 1 , est affectee a la variable C . 

Les operations 126 et 128 de la boucle d'operations 120 du procede 
de la figure 7 sont ensuite executees pour la valeur de I'indice i = 0. 

L'operation 126 consiste a calculer la variable C 32 , c'est-a-dire ici a 

— 3 32 

calculer (M ) . Les operations successives suivantes sont done executees : 
10 M 8 = MonPro (M 4 , M 4 ). 

M 16 =MonPro (M 8 , M 8 ) 
M 32 = MonPro (M 16 , M 16 ) 
M 64 = MonPro (M 32 , M 32 ) 
M 96 = MonPro (M 64 , M 32 ) = (M 3 ) 32 
15 Ces produits de Montgomery sont calcules selon le proced§ decrit 

en regard de la figure 2. Les calculs des variables M 16 , M 32 ,^ 64 , M 96 etant 
similaires a celui de M 8 , ils ne seront pas decrits ici en detail. 

Le calcul de M 8 est effectue selon la relation suivante : 
M 8 = MonPro (M 4 , M 4 ) = MonPro (16, 16) 
20 Lors de I'etape 16 du procede de la figure 2, les premiers produits 

de Montgomery al . b , c. a. d. ici M 0 4 M 4 et M / . M 4 sont pre-calcules. Les 
valeurs de M 0 4 et Mi 4 sont les suivantes : 
M 0 4 =0000 (=0dec.) 
Mi 4 =0001 (= 1 dec.) 
25 On en deduit done les valeurs des premiers produits suivantes : 

M 0 4 . M 4 = 0X16 = 0 
Mi 4 . M 4 = 1 X 16 = 16 

La boucle d'operations 18 de la figure 2 est ensuite executee 
successivement pour i = 0 et i=1 . 
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Pour i = 0, les operations 24 a 30 de la boucle 18 sont done les 

suivantes : 

u: = u + ai. b=0 
m : = u 0 . n' 0 mod 2 0> = 0 X 3 mod 16 = 0 
5 u : = u + m.n = 0 + 0 X 165 = 0 

u : = u/2 <D =0/ 16 = 0 

Pour i = 1, les operations 24 a 30 de la boucle 18 sont done les 

suivantes : 

u: = u + ai. b =0 + 16=16 
io m : = u 0 . n' 0 mod 2° = 0X3 mod 16 = 0 

u : = u + m.n = 16 + 0 X 165 = 16 
u : = u/2 <D = 16/ 16= 1 

De facon similaire on obtient les resultats num6riques suivants : 
M 16 = 136 
15 M 32 =31 

M 64 = 16 
M 96 = 136. 

Lors de I'execution de I'operation 128 du procede de la figure 7, F 0 
etant different de 0, le produit de Montgomery entre la variable C 32 et M F0 est 
2 o calcule selon la relation suivante : 

C : =MonPro(M 96 , M 4 ) 
ou : 

- M 96 = 136; 

- M 4 = 16. 

25 A Tissue du calcul de ce produit de Montgomery selon le procede de 

la figure 2 on obtient le resultat suivant : 

C : = MonPro (136, 16) = 91 

La boucle d'operations 120 du procede de la figure 7 n'est executee 
qu'une seule fois puisque la valeur initiate de I'indice i est 0. 
30 A I'issue de I'execution de la boucle d'operation 120, 1'etape 122 est 

executee. Elle consiste a effectuer I'operation suivante : 
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C : = MonPro (C, 1) 
ou : 

- C = 91 ; 
- 1 est I'unite. 

5 A Tissue du calcul de ce produit de Montgomery selon le precede de 

la figure 2 on obtient le resultat numerique suivant : 
C: = MonPro(91,1) = l 

Ainsi le resultat final de I'exponentiation modulaire 149 100 mod 165 
est egal a 1 . 

On concoit done a la lecture de la description qui precede que 
I'invention permet d'accelerer le temps d'execution du calcul d'un produit de 
Montgomery sur des moyens materiels de calcul. La description precedente 
decrit egalement I'application de ('invention a des precedes de cacul de 
multiplications et d'exponentiations modulaires, les precedes de calcul des 
15 multiplications et des exponentiations modulaires decrits etant eux-memes 
optimises pour accelerer encore plus leur temps d'execution. Les 
multiplications modulaires ou les exponentiations modulaires sont, comme on 
I'a deja indique, utilisees dans de nombreux precedes et systemes de 
cryptage/decryptage d'informations. Toutefois, les applications de I'invention 
20 ne se limitent pas a ce domaine duplication mais s'etendent a tous les 
domaines techniques ou des produits de Montgomery, des multiplication 
modulaires ou des exponentiations modulaires sont utilises, tels que par 
exemple le domaine des telecommunications ou autres. 

25 
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REVENDICATIONS 
1. Precede de traitement du calcul d'un produit de Montgomery a 
partir de la methode de Montgomery a radix eleve, ledit procede etant mis en 
ceuvre sur des moyens materiels de calcul (150 ; 200) formes d'un ensemble 
5 de composants electroniques comprenant au moins un additionneur de Carry- 
Save (157, 158 ; 230, 232), ladite methode comprenant une boucle 
d'operations, par reiteration d'operations successes realisees par lesdits 
moyens materiels de calcul (150 ; 200) comportant au moins : 

- une premiere operation d'addition arithmetique (24 , 76) d'une 
io valeur d'un de plusieurs premiers produits, notes a. ~b et d'une valeur d'une 

variable, notee u ; 

- une deuxieme operation d'addition arithmetique (28 ; 80) d'une 
valeur d'un de plusieurs seconds produits, notes m.n, et d'une valeur de ladite 
variable u, 

15 caracterise en ce qu'il consiste : 

- a delivrer, en entree dudit au moins un additionneur de Carry- 
Save, la valeur de la variable u sous la forme d'un couple de Carry-Save et 
ladite valeur d'un de plusieurs produits, notes aj, respectivement m.n, pour 
executer lesdites premiere et deuxieme operations d'addition arithmetique et 

20 pour obtenir en sortie le resultat de la premiere, respectivement de la 
deuxieme, operations d'addition arithmetique sous la forme d'un couple de 
Carry-Save, 

- a affecter, a la valeur de la variable u, le resultat obtenu en sortie 
dudit au moins un additionneur de Carry-Save, et 

25 ' k repeter les operations de delivrance et d'affectation pour 

chacune desdites iterations. 

2. Procede selon la revendication 1 comportant, dans la boucle 
d'operations une troisieme operation de division (30 ; 76) de la variable u par 
une puissance de 2, notee 2° ou o> est le radix, selon une troisieme relation 
30 u := ^t« caracterise en ce que la variable u est enregistree sous la forme d'un 
couple de Carry-Save forme par deux variables, notees C et S, pour 
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Pexecution des operations de la boucle (72) et en ce que la troisieme operation 
de division de la variable u sous la forme d'un couple de Carry-Save est 
realisee en deux etapes, a savoir : 

une etape preliminaire (82) de calcul et de stockage d'une retenue, 
5 notee R e , qui risque d'etre perdue par la division de chaque variable C et S par 
la puissance de 2; 

une etape de division (76) de chaque variable C et S par la 
puissance de 2. 

3. Procede selon la revendication 2, caracterise en ce que I'etape 
10 preliminaire (82) de calcul de la retenue R e comprend Toperation d'additionner 

de fagon classique co bits de poids faible de la variable C, notes C 0t a to bits de 
poids faible de la variable S, notes So, selon une quatrieme relation R e :=C 0 + 
So. 

4. Procede selon la revendication 3, caracterise en ce qu'une 
15 recombinaison (78, 84) de u a partir des variables C et S du couple de Carry- 
Save et de la retenue Re comprend Toperation de decaler a droite de co bits la 
retenue Re et d'additionner de fagon conventionnelle le resultat obtenu aux 
variables C et S selon une cinquieme relation u : = C+S+R e /2 ffi - 

5. Procede selon Tune quelconque des revendications 2 a 4, 
20 caracterise en ce qu'il comporte a Tissue de r execution de la boucle 

d'operations (72) : 

une etape de recombinaison (84) de la variable u a partir au moins 
des valeurs des variables C et S du couple de Carry-Save calculees pendant 
Texecution de la boucle d'operations, et 
2 5 une etape de reduction (86) de la variable u selon une sixieme 

relation u : = u-n, ou n est un modulus, 

lesdites etapes de recombinaison et de reduction de la variable u se 
chevauchant de maniere a accelerer leur temps d'execution. 

6. Procede selon Tune quelconque des revendications 
30 precedentes, caracterise en ce que le radix co est egal a 4 bits pour optimiser 

le temps d'execution du calcul d f un produit Montgomery sur des variables 
d'entree du produit de Montgomery codees sur 512 ou 1024 bits. 

7. Procede selon Tune quelconque des revendications precedentes, 



BNSDOCID: <WO 02073450A1_I_> 



WO 02/073450 

PCT/FR02/00897 

55 

caracterise en ce que les premiers produits aT.b sent pre-calcules avan. 
d executer la boucle d'operations (72). 

8 - Proc4d « se '°" run. quelconque de s revendications preceden.es. 
caraCense en ce que les second, produits m.„ son. pre-caicu.es avan. 
5 d executer la boucle d'operations (72). 

9. Precede pour accelerer le temps d execution du calcul d un 
premier e» d'un second produits de Montgomery en app,iq uan , po ur chaque 
produrt un precede selon ,'une quelconque des revendicabon 1 a 8. caracterise 
en ce qu i. compete au moins une premiere etape pendan. laquelle ,a 
prem,ere ope ra ,ion d'addMon (76, pour ,e premier produi, es. realisee en 
memo .ernps que la seconde operation d'addition (80, pourle second produit 

10. Precede selon la revendication 9, caracterise en ce qu il 
oomporte au moins une seconde etape decalee dans le temps par rapport a ,a 
prem,ere, pendan, laquelle la seconde option d'addition (80) pcur le premier 
produ,t es, realisee en memo temps que la premiere operation d'addition (76) 
pour le second produit. 

11. Precede selon la revendication 9 ou 10, caracterise en ce qu il 
comporte a Tissue de I'execution de la boucle d'operations (72) : " 

une etape de recombinaison (84) puis de reduction (86) pour le 
premier produit execute en premier ; et ensuite, 

une etape de recombinaison (84) puis de reduction (86) pour le 
second produit execute en second. 

12. Precede selon Tune des revendications 9 a 1 1 , caracterise en 
ce au une des variables d'entree du premier produit de Montgomery execute 
en premier se compose des poids faibies d'une variable, et une des variables 
d entree du second produit de Montgomery execute en second se compose 
des poids forts de cette meme variable. 

13. Precede pour accelerer le temps d'execution du calcul d'une 
mulfphcat.on modu.aire en applicant une methode mettant en ceuvre des 
produits de Montgomery, caracterise en ce que ,e calcu, des produits de 
Montgomery est realise en applicant au moins Tun des precedes selon au 
moms I une des revendications 1 a 12. 

14. Precede selon la revendication 13, caracterise en ce que ladite 
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methode mettant en ceuvre des produits de Montgomery est la methode de 
Montgomery. 

15 Precede pour accelerer le temps d'execution du calcul d'une 
exponentiation modulaire en appliquant une methode mettant en oeuvre des 
5 multiplications modulaires, caracterise en ce que le calcul des multiplications 
modulaires est realise en appliquant un precede selon la revendication 13 ou 
14. 

16. Procede selon la revendication 15, caracterise en ce que ladite 
methode mettant en ceuvre des multiplications modulaires est la methode m- 

10 ary avec une taille de mots de r bits. 

17. Procede selon la revendication 16, caracterise en ce que la taille 
de mots r de la methode m-ary est egale a 5 bits pour accelerer le temps 
d'execution de la methode m-ary lorsque des variables d'entree du calcul de 
I'exponentiation modulaire sont codees sur 512 ou 1024 bits. 

15 is. Procede selon la revendication 16 ou 17, caracterise en ce que 

les seconds produits m.n sont pre-calcules avant d'appliquer la methode m- 
ary. 

19. Procede selon la revendications 15, caracterise en ce que ladite 
methode mettant en oeuvre des multiplications modulaires est la methode des 

2 o restes chinois. 

20. Procede pour accelerer le temps d'execution du calcul d'une 
premiere exponentiation modulaire en appliquant une methode mettant en 
ceuvre des secondes exponentiations modulaires, caracterise en ce que les 
secondes exponentiations modulaires sont realisees en appliquant un procede 

2 5 selon I'une des revendications 15 a 19. 

21. Procede selon la revendication 20, caracterise en ce que ladite 
methode mettant en ceuvre des secondes exponentiations modulaires est la 

methode des restes chinois. 

22. Procede selon I'une quelconque des revendications 

3 o precedentes, caracterise en ce qu'il est applique a des nombres codes sur plus 

de 320 bits. 

23. Programme d'ordinateur comprenant des instructions de code 
de programme pour I'execution de certaines etapes du procede selon I'une 
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quelconque des revendications 13 a 21 lorsque ledit programme est execute 
sur des moyens principaux de calcul (201) associes audits moyens materiels 
de calcul (150 ; 200). 

24. Systeme de traltement de calcul d'un produit de Mongtomery a 
> partir de la methode de Mongomery a radix eleve, ledit systeme comportant 
des moyens materiels de calcul (150 ; 200) formes d'un ensemble de 
composants electroniques, ledit traitement comprenant une boucle 
d'operations, par reiteration d'operations successives realisees par lesdits 
moyens materiels de calcul (150 ; 200) comportant : 

- une premiere operation d'addition arithmetique (24 , 76) d'une 
valeur d'un de plusieurs premiers produits, notes a J et d'une valeur d'une 
variable, notee u ; 

- une deuxieme operation d'addition arithmetique (28 ; 80) d'une 
valeur d'un de plusieurs seconds produits, notes m.n, et d'une valeur de ladite 

15 variable u, 

caracterise en ce que les moyens materiels de calcul (150 ; 200) 
compprtent au moins : 

- un additionneur de Carry-Save adapte pour recevoir en entree la 
variable u sous la forme d'un couple de Carry-Save et ladite valeur d'un de 

20 plusieurs produits, notes al>, respectivement m.n, et a delivrer en sortie le 
resultat de la premiere, respectivement la deuxieme, operation d'addition 
arithmetique sous la forme d'un couple de Carry-Save, et 

- des moyens pour affecter a la variable u la valeur obtenue en 
sortie dudit au moins un additionneur de Carry-Save. 

25 25 - Systeme selon la revendication 24, caracterise en ce que les 

moyens pour effectuer la premiere et la seconde operations d'addition 
comportent au moins un premier additionneur de Carry-Save (157; 230) 
adapte pour realiser la premiere operation d'addition et un second additionneur 
de Carry-Save (158; 232) adapte pour realiser la seconde operation 

3 0 d'addition. 

26. Systeme selon I'une des revendications 24 a 25, comportant des 
moyens classiques pour realiser une troisieme operation de division de la 
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variable u par une puissance de 2, notee 2® ou a> est le radix, selon une 
troisieme relation u :=-^L, caracterise en ce qu'il comporte des moyens de 

stockage de la variable u sous la forme d'un couple de Carry-Save forme par 
deux variables, notees C et S et des moyens pour realiser la troisieme 
5 operation de division de la variable u sous la forme d'un couple de Carry-Save 
comprenant : 

des moyens de calcul et de stockage d'une retenue, notee R e , qui 
risque d'etre perdue par la division de chaque variable C et S par la puissance 
de 2; 

10 des moyens de division de chaque variable C et S par la puissance 

de 2. 

27. Systeme selon la revendication 26, caracterise en ce que les 
moyens de calcul et de stockage de la retenue R e comportent des moyens 
d'addition conventionnelle des to bits de poids faible de la variable C, notes C 0 , 

15 aux obits de poids faible de la variable S, notes S 0 , selon une quatrieme 
relation R e : = C 0 + So. 

28. Systeme selon Tune quelconque des revendications 24 a 29, 
caracterise en ce qu'il comprend : 

des moyens (162 ; 236) de recombinaison de la variable u au moins 
20 a partir des valeurs des variables C et S du couple de Carry-Save, 

des moyens (166 ; 238) de reduction de la variable u, lesdits 
moyens de recombinaison de la variable u et lesdits moyens de reduction etant 
raccordes Tun a I'autre de maniere a chevaucher leur fonctionnement sous le 
controle de moyens de commande (156 ; 214). 
2 5 29. Systeme selon Tune quelconque des revendications 24 a 30, 

caracterise en ce que le radix to est egal a 4 bits pour optimiser le temps 
d'execution du calcul d'un produit Montgomery sur des variables d'entree du 
produit de Montgomery codees sur 512 ou 1024 bits. 

30. Systeme selon Tune quelconque des revendications 24 a 31, 
30 caracterise en ce qu'il comporte des moyens (164, 160 ; 216, 214, 218, 222) 

de pre-calculs des premiers produits ai .b . 

31. Systeme selon Tune quelconque des revendications 24 a 31, 
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caracterise en ce qu'il comporte des moyens (164, 160 ; 216, 214, 218, 222) 
de pre-calculs des seconds produits m.n. 

32. Systeme selon la revendication 30 ou 31 caracterise en ce que 
lesdits moyens de pre-calculs des premiers et/ou des seconds produits 

5 comportent un additionneur conventionnel (160 ; 220, 222). 

33. Systeme d'acceleration du temps d'execution du calcul d'un 
premier et d'un second produits de Montgomery, caracterise en ce qu'il 
comporte deux additionneurs de Carry-Save (230, 232) actives simultanement. 

34. Systeme selon la revendication 33, caracterise en ce qu'il 
10 comporte un seul moyen (162) pour recombiner la variable u a partir au moins 

des valeurs de variables C et S du couple de Carry-Save, relie en entree d'un 
seul moyen (1 66) de reduction de la variable u. 

35. Systeme d'acceleration du temps d'execution du calcul d'une 
multiplication modulaire par une methode mettant en oeuvre des produits de 

15 Montgomery, lesdits produits de Montgomery etant executes sur des moyens 
materiels de calcul (150 ; 200), caracterise en ce qu'il comporte au moins un 
systeme (150 ; 202) d'acceleration du temps d'execution du calcuLdes produits 
de Montgomery selon I'une des revendications 24 a 34. 

36. Systeme d'acceleration du temps d'execution du calcul d'une 
20 multiplication modulaire par la methode de Montgomery mettant en ceuvre des 

produits de Montgomery sur des moyens materiels de calcul (150; 200), 
caracterise en ce qu'il comporte au moins un systeme (150; 202) 
d'acceleration du temps d'execution du calcul des produits de Montgomery 
selon I'une des revendications 24 a 34. 

25 37 ■ Systeme d'acceleration du temps d'execution du calcul d'une 

exponentiation modulaire par une methode mettant en oeuvre des 
multiplications modulaires, caracterise en ce qu'il comporte au moins un 
systeme (150; 200) d'acceleration du temps d'execution du calcul des 
multiplications modulaires selon la revendication 35 ou 36. 

30 38 - Systeme d'acceleration du temps d'execution du calcul d'une 

exponentiation modulaire par la methode m-ary avec une taille de mots de r 
bits mettant en oeuvre des multiplications modulaires, caracterise en ce qu'il 
comporte au moins un systeme (150; 200) d'acceleration du temps 
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d'execution du calcul des multiplications modulaires selon la revendication 35 
ou 36. 

39. Systeme selon la revendication 38, caracterise en ce qu'il 
comporte au moins un registre (242, 244) a decalage a gauche de 5 bits pour 

5 accelerer I'execution de la methode m-ary avec une taille de mots r bits de la 
methode m-ary egale a 5 bits. 

40. Systeme deceleration du temps d'execution du calcul d'une 
exponentiation modulaire par la methode des restes chinois mettant en oeuvre 
des multiplications modulaires, caracterise en ce qu'il comporte au moins un 

10 systeme (150; 200) deceleration du temps d'execution du calcul des 
multiplications modulaires selon la revendication 37 ou 39. 

41. Systeme deceleration du temps d'execution du calcul d'une 
premiere exponentiation modulaire par une methode mettant en oeuvre des 
secondes exponentiations modulaires, caracterise en ce qu'il comporte au 

is moins un systeme (150 ; 200) deceleration du temps d'execution du calcul 
des secondes exponentiations modulaires selon Tune quelconque des 
revendications 37 a 40. 

42. Systeme deceleration du temps d'execution du calcul d'au 
moins une premiere exponentiation modulaire par la methode des restes 

2 0 chinois mettant elle-meme en oeuvre des secondes exponentiations 
modulaires, caracterise en ce qu'il comporte au moins un systeme (150 ; 200) 
deceleration du temps d'execution du calcul des secondes exponentiations 
modulaires selon Tune quelconque des revendications 39 a 41 . 

43. Composant electronique caracterise en ce qu'il comporte au 

2 5 moins un systeme selon Tune des revendications 24 a 42. 

44. Gdmposant electronique selon la revendication 45, caracterise 
en ce qu'il est forme avec au moins un FPGA. 

45. Carte electronique caracterisee en ce qu'elle comporte au moins 
un systeme selon Tune des revendications 24 a 44. 

3 0 46. Carte electronique selon la revendication 45, caracterisee en ce 

qu'elle est conforme au standard PCI. 

47. Machine caracterisee en ce qu'elle est associe a au moins un 
systeme selon I'une des revendications 24 a 46. 
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48. Precede de traitement du calcul d'une premiere exponentiation 
modulaire, notee M E mod nouM est le message d'entree, E est I'exposant et n 
est le modulus, a I'aide de moyens principaux de calcul (201) forme par un 
ordinateur, caracterise en ce qu'il comporte les etapes suivantes : 

5 - une premiere etape d'ecriture en entree des moyens principaux de 

calcul, de la premiere exponentiation modulaire, 

- une deuxieme etape d'activation sur les moyens principaux de 
calcul (201) de moyens de traitement selon la methode des restes chinois de 
ladite premiere exponentiation modulaire pour obtenir en sortie deux secondes 

10 exponentiations modulaires a traiter, 

- une troisieme etape d'activation de moyens de traitement selon la 
methode m-ary de chacune des secondes exponentiations modulaires, la 
methode m-ary mettant en ceuvre des multiplications modulaires, 

- des etapes d'activation de moyens de traitement selon la methode 
15 de Montgomery de chacune desdites multiplications modulaires de la methode 

de m-ary. 

49. Procede selon la revendication 48, caracterise en ce que les 
variables d'entree sont des nombres entiers naturels codes sur plus de 320 
bits. 

2 0 50. Procede selon la revendication 48 ou 49, caracterise en ce que 

la taille de mots r de la methode m-ary est egale a 5 bits pour accelerer le 
temps d'execution de la methode m-ary lorsque les variables d'entree du calcul 
de ['exponentiation modulaire sont codees sur 512 ou 1024 bits. 

51. Procede selon Tune quelconque des revendications 48 a 50, 
2 5 caracterise en ce que les calculs des secondes exponentiations modulaires 

sont effectues sensiblement en parallele. 

52. Procede selon Tune quelconque des revendications 48 a 51, 
caracterise en que les produits de Montgomery sont calcules en utilisant la 
methode de Montgomery a radix eleve. 

3° 53. Procede selon la revendication 52, caracterise en ce que la 

methode de Montgomery a radix eleve est mise en ceuvre conformement a I'un 
des precedes selon I'une quelconque des revendications 1 a 9. 

54. Programme d'ordinateur comprenant des instructions de code 
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de programme pour Texecution de certaines etapes du procede selon Tune 
quelconque des revendications 48 a 52 lorsque ledit programme est execute 
sur les moyens principaux de calcul (201). 
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